De nos jours, pour une entreprise, assurer sa sécurité informatique est devenu un sport collectif où tous ses partenaires et ses fournisseurs doivent mouiller le maillot pour vaincre la cybermenace.
Dans un monde où les frontières numériques s'estompent entre les différents acteurs de l’économie, les données circulent tous les jours et les collaborations avec des tiers se multiplient constamment. Dans ce contexte, le périmètre que doit protéger une entreprise n’est plus à considérer comme un bloc solide et inerte, mais plutôt comme un flux s’étendant dans diverses directions simultanément.
Assurer la sécurité d’un système d’information mouvant sur lequel reposent ses données et ses services s’avère être le défi crucial auquel sont confrontés les Responsables de la sécurité des Systèmes d’Information des entreprises d’un nouveau genre, dites étendues[1].
La digitalisation et l’externalisation de tout ou partie des moyens de production, des canaux de vente et bien d’autres organes structurant pour une entreprise, ont profondément changé le profil informatique des organisations. Ce dernier est passé d’un bloc monolithique à un patchwork IT constitué d’un bout de système d’information local, d’une multitude d’environnements Cloud, de systèmes mutualisés et autres applications fournis par des tiers, faisant ainsi reposer les processus clé de l’entreprise sur des environnements plus ou moins maîtrisés par celle-ci.
Chaque entreprise doit considérer son écosystème numérique dans le cadre de sa stratégie de protection. Ainsi, chacun de ses tiers doit être considéré en fonction de son importance dans sa chaîne de valeur. Pour cela, voici une approche en trois étapes :
- Identifier ses activités métier clé et les données qui en dépendent
- Identifier les tiers qui sont impliqués dans ses activités clé ou qui disposent de ses informations sensibles
- Évaluer de manière continue et proportionnée le niveau de sécurité de chacun de ses tiers
- Identifier ses activités métier clés et les données qui en dépendent
L’entreprise doit avant tout être consciente des activités et des données qui sont essentielles pour son bon fonctionnement. L’exercice d’inventaire des actifs de l’entreprise est indispensable et systématique. Cela permet d’identifier à tout moment si les éléments qui sont ainsi reconnus comme importants sont correctement protégés.
- Cartographier son écosystème
L’entreprise doit être capable de savoir quels sont les tiers qui interviennent sur ses activités clé ou qui disposent de ses données sensibles. Pour cela, il est recommandé de compléter l’analyse d’impact métier par une cartographie des interactions existantes avec des partenaires et des fournisseurs, ce afin d’apprécier l’impact que peut représenter la défaillance de l’un deux.
En effet, certains processus clé de l’entreprise peuvent être assurés par un tiers, ce qui rendrait l’entreprise tributaire de sa fiabilité.
- Évaluer ses tiers de façon continue et proportionnée
L’entreprise doit être en mesure d’avoir une idée précise du niveau de sécurité de chacun de ses tiers à tout moment pour savoir où et quand elle doit mettre en œuvre une solution palliative pour limiter le risque que pourrait représenter la défaillance de l’un d’entre eux.
Pour que cette approche soit économiquement viable, l'automatisation est essentielle. Une évaluation continue et adaptée à la criticité de chacun des tiers doit être mise en place, s'appuyant sur des données actualisées en temps réel pour refléter au mieux la réalité du terrain.
Traditionnellement, le risque cyber est évalué de manière ponctuelle, au mieux une fois par an ; cela ne suffit plus dans un environnement où les menaces évoluent chaque jour. Le véritable enjeu est de passer à une évaluation dynamique et continue, où chaque mouvement des acteurs de l’écosystème de l’entreprise est observé et analysé pour anticiper les attaques.
En conclusion, la sécurité des entreprises ne dépend plus uniquement de leurs propres défenses, mais aussi de celles de leurs partenaires. C’est le collectif qui doit gagner ! Et pour cela, adopter une approche dynamique et collaborative est indispensable. Cette démarche doit pouvoir s’appuyer sur des outils adaptés pour relever ce défi et assurer la protection des entreprises dans un monde numérique en constante évolution.
Olivier PATOLE, Président de Trustable
