À Chaud :

Tyrex affiche son ambition américaine au 39e Space Symposium

Tyrex, leader français des solutions de décontamination USB, confirme...

Hop-place : la plateforme collaborative qui révolutionne la gestion de la maintenance lève 1 million d’euros !

Fondée en 2020 par deux entrepreneurs, Laurent Ehrhart et Guillaume Weyland, Hop-place...

FGTECH continue son expansion avec la signature de 12 nouveaux contrats

L’ESN Les Filles et les Garçons de la Tech...
Expertise professionnelleComment les entreprises peuvent évaluer en continu le risque cyber dans un...

Comment les entreprises peuvent évaluer en continu le risque cyber dans un environnement digital

De nos jours, pour une entreprise, assurer sa sécurité informatique est devenu un sport collectif où tous ses partenaires et ses fournisseurs doivent mouiller le maillot pour vaincre la cybermenace.

Dans un monde où les frontières numériques s’estompent entre les différents acteurs de l’économie, les données circulent tous les jours et les collaborations avec des tiers se multiplient constamment. Dans ce contexte, le périmètre que doit protéger une entreprise n’est plus à considérer comme un bloc solide et inerte, mais plutôt comme un flux s’étendant dans diverses directions simultanément.

Assurer la sécurité d’un système d’information mouvant sur lequel reposent ses données et ses services s’avère être le défi crucial auquel sont confrontés les Responsables de la sécurité des Systèmes d’Information des entreprises d’un nouveau genre, dites étendues[1].

La digitalisation et l’externalisation de tout ou partie des moyens de production, des canaux de vente et bien d’autres organes structurant pour une entreprise, ont profondément changé le profil informatique des organisations. Ce dernier est passé d’un bloc monolithique à un patchwork IT constitué d’un bout de système d’information local, d’une multitude d’environnements Cloud, de systèmes mutualisés et autres applications fournis par des tiers, faisant ainsi reposer les processus clé de l’entreprise sur des environnements plus ou moins maîtrisés par celle-ci.

Chaque entreprise doit considérer son écosystème numérique dans le cadre de sa stratégie de protection. Ainsi, chacun de ses tiers doit être considéré en fonction de son importance dans sa chaîne de valeur. Pour cela, voici une approche en trois étapes :

  1. Identifier ses activités métier clé et les données qui en dépendent
  2. Identifier les tiers qui sont impliqués dans ses activités clé ou qui disposent de ses informations sensibles
  3. Évaluer de manière continue et proportionnée le niveau de sécurité de chacun de ses tiers

1.Identifier ses activités métier clés et les données qui en dépendent

L’entreprise doit avant tout être consciente des activités et des données qui sont essentielles pour son bon fonctionnement. L’exercice d’inventaire des actifs de l’entreprise est indispensable et systématique. Cela permet d’identifier à tout moment si les éléments qui sont ainsi reconnus comme importants sont correctement protégés.

2.Cartographier son écosystème

L’entreprise doit être capable de savoir quels sont les tiers qui interviennent sur ses activités clé ou qui disposent de ses données sensibles. Pour cela, il est recommandé de compléter l’analyse d’impact métier par une cartographie des interactions existantes avec des partenaires et des fournisseurs, ce afin d’apprécier l’impact que peut représenter la défaillance de l’un deux.

En effet, certains processus clé de l’entreprise peuvent être assurés par un tiers, ce qui rendrait l’entreprise tributaire de sa fiabilité.

 

3.Évaluer ses tiers de façon continue et proportionnée

L’entreprise doit être en mesure d’avoir une idée précise du niveau de sécurité de chacun de ses tiers à tout moment pour savoir où et quand elle doit mettre en œuvre une solution palliative pour limiter le risque que pourrait représenter la défaillance de l’un d’entre eux.

Pour que cette approche soit économiquement viable, l’automatisation est essentielle. Une évaluation continue et adaptée à la criticité de chacun des tiers doit être mise en place, s’appuyant sur des données actualisées en temps réel pour refléter au mieux la réalité du terrain.

Traditionnellement, le risque cyber est évalué de manière ponctuelle, au mieux une fois par an ; cela ne suffit plus dans un environnement où les menaces évoluent chaque jour. Le véritable enjeu est de passer à une évaluation dynamique et continue, où chaque mouvement des acteurs de l’écosystème de l’entreprise est observé et analysé pour anticiper les attaques.

En conclusion, la sécurité des entreprises ne dépend plus uniquement de leurs propres défenses, mais aussi de celles de leurs partenaires. C’est le collectif qui doit gagner ! Et pour cela, adopter une approche dynamique et collaborative est indispensable. Cette démarche doit pouvoir s’appuyer sur des outils adaptés pour relever ce défi et assurer la protection des entreprises dans un monde numérique en constante évolution.

 

Olivier PATOLE, Président de Trustable

à lire aussi

Logpoint rachète Muninn

Logpoint annonce l'acquisition de la société de cybersécurité danoise...

ASC Technologies présente le plug-in Copilot pour sa solution d’enregistrement et d’analyse de données IA Recording Insights

ASC Technologies, l'un des principaux fournisseurs de solutions d'enregistrement...

Ibexa célèbre sa croissance et étend sa présence DXP en Amérique du Nord

Ibexa, l'un des leaders des plateformes d'expérience numérique (DXP),...

Dans la même catégorie

Stockage et sauvegarde résilients : un impératif pour se conformer à DORA

Le concept de la résilience numérique est dorénavant consacré...

Les trois phases critiques pour réussir UN projet d’IA générative

Parmi les phases finalement assez traditionnelles d’un projet basée...

Les obstacles à l’adoption du SIRH et les solutions pour les surmonter

Indispensable au bon fonctionnement de l’entreprise et véritable outil...

Opérateurs et intégrateurs : comment innover sur le marché VoIP

Aujourd’hui, le marché de la VoIP pour une utilisation...

L’IA générative rend-elle obsolète le low code no code ?

Face aux avancées incroyables rendues possibles par le développement...

Ça pourrait vous interresser

Maximiser la relation client avec un CRM performant : un guide pour les entreprises

Gérer ses processus d’entreprise est un impératif stratégique pour se distinguer sur un marché toujours plus concurrentiel. Dans ce contexte, les professionnels doivent s’interroger...

Pourquoi la sécurisation de la flotte mobile est devenue essentielle pour la cybersécurité des entreprises

Le smartphone est omniprésent dans les entreprises et accueille de plus en plus d’applications et de données professionnelles. Le sujet de la cybersécurité prend...

Priorités de rentrée pour un RSSI : renforcer la stratégie de cyber défense en trois étapes

Faire le point chaque année sur sa stratégie de cybersécurité est désormais un impératif stratégique pour l’ensemble des organisations. En effet, pour se protéger...