Bien évaluer son niveau de sécurité pour gagner en maturité

Comment investir et à quel niveau pour renforcer efficacement la protection de ses systèmes d’information ? Pour répondre à ces questions, Fujitsu recommande d’agir avec méthodologie, au départ d’une évaluation, pour ensuite mieux combler les lacunes et prendre les mesures les plus adaptées.

Moussa Ouedraogo, Cyber security, Risk & Privacy – Fujitsu Luxembourg

Plus personne ne peut ignorer l’importance d’une bonne protection de ses systèmes informatiques et de ses données. En raison d’une médiatisation importante des enjeux et des problématiques dont ont été victimes de nombreux acteurs, la cybersécurité est une thématique de plus en plus évoquée au niveau des comités exécutifs des organisations. « Cependant, il n’est pas toujours évident, à l’échelle de chaque société, de pouvoir définir précisément où l’on se situe vis-à-vis des risques auxquels on s’expose. Dès lors, il est difficile de déterminer les moyens dont on doit se doter et les investissements qu’il faudrait consentir, explique Moussa Ouedraogo, Head of Enterprise & Cybersecurity au sein de Fujitsu Luxembourg. Or, il est important que chacun puisse mieux se positionner par rapport à ces enjeux, pour parvenir à se doter d’une gouvernance et d’une gestion des risques adaptées, et ainsi mieux répondre aux exigences réglementaires actuelles. »

Évaluer la sécurité pour mieux combler les lacunes

Au départ d’une évaluation globale du niveau de sécurité, chaque entreprise doit pouvoir se comparer par rapport à d’autres acteurs et vis-à-vis des bonnes pratiques. « Un tel assessment est un prérequis important. C’est la base à partir de laquelle on va pouvoir construire une stratégie visant à améliorer la maturité de l’entreprise en matière de gestion de la sécurité », poursuit le responsable du département Cybersecurity. Dans cette optique, Fujitsu Luxembourg accompagne de nombreuses entreprises luxembourgeoises dans la réalisation de cette évaluation. « Celle-ci peut être plus ou moins conséquente, en fonction de la taille de l’entreprise, de la complexité de ses services ou de ses systèmes. Dans tous les cas, elle ne doit pas se limiter à quelques tests de pénétration, mais contrôler les fondamentaux des systèmes d’information ainsi que les procédures en place. Cette évaluation permet surtout d’identifier les lacunes et de définir les programmes à mettre en place pour permettre à l’entreprise de gagner en maturité. »

Mieux justifier les dépenses en sécurité

Mieux se protéger n’implique pas de se doter d’une armada de solutions technologiques. Le défi pour l’entreprise est d’avoir conscience des risques auxquels elle est exposée et de parvenir à mieux les maîtriser. « On ne peut pas gérer ce que l’on ne peut pas mesurer. Quand on prend conscience des risques et des lacunes, on peut plus facilement mettre en place les solutions les plus adaptées à sa situation. Il peut s’agir de solutions technologiques, de nouvelles procédures à appliquer ou encore d’un renforcement de la sensibilisation, poursuit Moussa Ouedraogo. Au départ de l’évaluation, en ayant une vision claire de la situation, l’enjeu est d’établir un programme des actions à mettre en place, qui doit permettre à l’entreprise de gagner en maturité. » Pour le CISO, une telle approche, s’appuyant sur une méthodologie claire, permet d’avoir un meilleur contrôle des coûts et de pouvoir plus facilement justifier ce qui est mis en place auprès des décideurs. « Sur base d’un assessment étayé et d’un programme clair, intégrant les résultats escomptés, le CISO peut se présenter au board avec quelque chose de solide et rendre des comptes plus facilement, ajoute Moussa Ouedraogo. Chaque investissement peut être plus aisément justifié. La cybersécurité peut alors être moins perçue comme un centre de coût, mais comme un allié de la continuité des activités. » 

Investir en fonction des assets à protéger

Les investissements, en outre, seront plus réfléchis et pourront être envisagés en lien avec la valeur des assets à protéger. « Prendre des mesures disproportionnées pour protéger des données qui ne sont pas considérées comme importantes n’a pas de sens, commente l’expert de Fujitsu. Grâce à un programme clair d’actions à mettre en œuvre, on peut considérablement réduire les coûts liés à la sécurité et garantir la pertinence des investissements. »

Un tel programme visera en priorité à combler les lacunes identifiées puis à aligner l’entreprise sur les meilleures pratiques. « Petit à petit, l’entreprise va renforcer sa maîtrise des enjeux de sécurité, gagner en maturité vis-à-vis des risques cyber, ajoute Moussa Ouedraogo. L’enjeu est d’inscrire nos clients dans une démarche d’amélioration continue. Un programme va le plus souvent fixer un objectif cible de maturité à trois ans et sera décliné en une série d’actions à mettre en œuvre. En évaluant les avancées année après année, on peut rendre compte des améliorations. »

S’appuyer sur la technologie de dernière génération

La technologie est alliée des entreprises dans la protection de leur environnement informatique. Les produits de cybersécurité s’inscrivant dans la catégorie « next generation » intègrent aujourd’hui de l’intelligence artificielle, permettant une meilleure détection et une réponse rapide en cas de compromission des systèmes. Le monitoring permanent qu’ils permettent d’exécuter s’opère sur l’ensemble de l’environnement, les réseaux, tous les terminaux. « S’ils comprennent des solutions antivirus, des firewalls et d’autres fonctions de protection, ces nouveaux outils, grâce à des analyses comportementales, sont aussi en mesure de détecter des menaces qui ne sont pas identifiables au moyen d’une signature, détaille Moussa Ouedraogo. De tels outils permettent en outre aux responsables informatiques de disposer d’une meilleure vue sur l’ensemble de l’activité, les anomalies constatées, et de mieux comprendre les risques et les menaces. » 

Mieux gérer les vulnérabilités

Il s’agit donc de solutions stratégiques qui, au-delà de la protection qu’ils assurent, permettent aux responsables de la sécurité de prendre les mesures les plus adaptées, en permanence. « Investir dans de telles solutions innovantes permet de répondre à plusieurs enjeux que rencontre les entreprises. Non seulement on parvient à mieux se protéger, mais on dispose en outre d’un outil clé permettant de plus rapidement gagner en maturité et de mieux faire face à une menace à travers une gestion plus dynamique des vulnérabilités. » 

Au départ d’une évaluation globale du niveau de sécurité de l’entreprise, en mettant en place un programme d’actions adapté et en s’appuyant sur des outils de dernière génération, le CISO peut rapidement gagner en maturité. Au final, c’est l’entreprise qui, en confiance, peut mieux envisager l’avenir.