Le mardi 4 juin, WeForge Angers accueillait l’événement Wetalk “Cybersécurité : une introduction”, animé par Henri Heuzé, fondateur du cabinet de conseil et d’audit en sécurité de l’information ARCAD-IA.
1. Contexte Général
Nous vivons dans un monde ou les actes de cybermalveillance, les attaques font partie intégrante de notre quotidien, de manière banalisée.
Du fait d’un contexte géopolitique tendu, accentué par les guerres en Ukraine et au Moyen Orient, les attaques et les cas de défaillance cyber sont légion. De plus, notre surface de vulnérabilité s’accroît du fait qu’elle est liée à l’usage intensif et quasi indispensable du numérique connecté, tant dans les domaines professionnel que personnel.
2. Renforcement des défenses
- Mise à jour des normes et méthodes : ISO 27001, EBIOS-RM, …
- Professionnalisation des pratiques : ITIL, COBIT, …
- Nouvelles réglementations : RGPD (2016), NIS1 (2016, 2018) puis NIS (2022, 2024)
- Dispositifs renforcés : les sites institutionnels public se tournent vers le grand public et les acteurs économiques et administratifs de proximité
“Nous avons tous un trésor à protéger, avec des pirates qui rodent autour. Le moyen de se protéger ? Trouver sa boussole pour naviguer de manière sûre.”
Henri Heuzé, fondateur d’ARCAD-IA
3. Organisation et valeurs = la boussole
Qui sommes-nous ? Forme juridique, sociale
Où sommes-nous ? Sites
Que faisons-nous ? Produits et services
Pour quelles parties intéressées ? Actionnaires, collaborateurs, membres, clients, voisins, fournisseurs, prestataires, …
Quelles sont nos exigences réglementaires et normatives ? RGPD, PI, NIS, ISO 27001, QHSE, …
4. L’information = le trésor
- De quelle information avons-nous besoin ? Inventaire
- Qu’en faisons nous, comment l’échangeons-nous ? Process
- Comment la conservons nous ? et pendant combien de temps ? Supports
- Qui peut y accéder ? Utilisateurs (internes et externes)
5. Les risques
- Classifier ses informations inventoriées
- Bien identifier les caractéristiques des supports de l’information
- Identifier, détecter, qui peut nous menacer et par quel chemin ?
- Estimer la probabilité de survenance
- Déterminer la gravité de l’impact et des conséquences pour notre organisation et ses parties intéressées
6. L’hygiène numérique
Elle est nécessaire pour renforcer la sécurité du système d’information.
Quelques exemples :
- Gestion des identités et mots de passe : un compte implique un mot de passe unique
- Séparation des environnements : Pro vs Perso
- Sauvegardes : régulières, déconnectées et testées
- Mises à jour des ordinateurs et équipements : régulières et sans remettre au lendemain
cf. Guide de l’ANSSI : https://cyber.gouv.fr/publications/guide-dhygiene-informatique
7. L’humain = force de l’organisation
Chaque organisation est unique du fait de sa culture, sa dimension, son marché… Les collaborateurs et dirigeants sont la force de l’organisation y compris pour la cybersécurité. Une sensibilisation à la sécurité de l’information passe nécessairement par la compréhension de la culture des personnes.
Un programme de formation contextualisé auprès des utilisateurs et proportionné à l’appréciation des risques de l’organisation permet d’élever le niveau de sensibilisation et l’efficacité des utilisateurs dans la prévention des risques et la réaction en cas d’événement ayant un impact sur la confidentialité, l’intégrité ou la disponibilité des informations.
Le risque est partagé par l’ensemble des parties intéressées selon périmètre de responsabilité.
8. Mesurer pour maîtriser
“Chaque utilisateur est comme un pilote automobile : il se déplace et peut être confronté à des risques, il doit donc être formé et passer son permis de conduire”.
Henri Heuzé, fondateur d’ARCAD-IA
9. Améliorer en continu
La sécurité de l’information est une démarche dynamique qui rejoint nécessairement d’autres dynamique déjà en place dans l’organisation : qualité, RSE, …
Elle s’inscrit dans le fonctionnement normal de l’organisation
En conclusion : la sécurité de l’information doit être intégrée dans la Culture de l’Entreprise.