À Chaud :

Almavia.CX accède à la certification Gold de Platform.sh

Almavia CX se positionne parmi les ESN françaises les...

Altospam : leader français de la lutte contre le spam, phishing et ransomwares, certifié Cybersecurity made in Europe

L’éditeur souverain Altospam, pionnier et acteur historique de la cybersécurité...

Saretec améliore le traitement et le classement automatiques de mails grâce à Golem.ai

Société leader d’expertise en assurance, Saretec s’appuie sur une...
Expertise professionnelleComment les entreprises peuvent évaluer en continu le risque cyber dans un...

Comment les entreprises peuvent évaluer en continu le risque cyber dans un environnement digital

De nos jours, pour une entreprise, assurer sa sécurité informatique est devenu un sport collectif où tous ses partenaires et ses fournisseurs doivent mouiller le maillot pour vaincre la cybermenace.

Dans un monde où les frontières numériques s’estompent entre les différents acteurs de l’économie, les données circulent tous les jours et les collaborations avec des tiers se multiplient constamment. Dans ce contexte, le périmètre que doit protéger une entreprise n’est plus à considérer comme un bloc solide et inerte, mais plutôt comme un flux s’étendant dans diverses directions simultanément.

Assurer la sécurité d’un système d’information mouvant sur lequel reposent ses données et ses services s’avère être le défi crucial auquel sont confrontés les Responsables de la sécurité des Systèmes d’Information des entreprises d’un nouveau genre, dites étendues[1].

La digitalisation et l’externalisation de tout ou partie des moyens de production, des canaux de vente et bien d’autres organes structurant pour une entreprise, ont profondément changé le profil informatique des organisations. Ce dernier est passé d’un bloc monolithique à un patchwork IT constitué d’un bout de système d’information local, d’une multitude d’environnements Cloud, de systèmes mutualisés et autres applications fournis par des tiers, faisant ainsi reposer les processus clé de l’entreprise sur des environnements plus ou moins maîtrisés par celle-ci.

Chaque entreprise doit considérer son écosystème numérique dans le cadre de sa stratégie de protection. Ainsi, chacun de ses tiers doit être considéré en fonction de son importance dans sa chaîne de valeur. Pour cela, voici une approche en trois étapes :

  1. Identifier ses activités métier clé et les données qui en dépendent
  2. Identifier les tiers qui sont impliqués dans ses activités clé ou qui disposent de ses informations sensibles
  3. Évaluer de manière continue et proportionnée le niveau de sécurité de chacun de ses tiers

1.Identifier ses activités métier clés et les données qui en dépendent

L’entreprise doit avant tout être consciente des activités et des données qui sont essentielles pour son bon fonctionnement. L’exercice d’inventaire des actifs de l’entreprise est indispensable et systématique. Cela permet d’identifier à tout moment si les éléments qui sont ainsi reconnus comme importants sont correctement protégés.

2.Cartographier son écosystème

L’entreprise doit être capable de savoir quels sont les tiers qui interviennent sur ses activités clé ou qui disposent de ses données sensibles. Pour cela, il est recommandé de compléter l’analyse d’impact métier par une cartographie des interactions existantes avec des partenaires et des fournisseurs, ce afin d’apprécier l’impact que peut représenter la défaillance de l’un deux.

En effet, certains processus clé de l’entreprise peuvent être assurés par un tiers, ce qui rendrait l’entreprise tributaire de sa fiabilité.

 

3.Évaluer ses tiers de façon continue et proportionnée

L’entreprise doit être en mesure d’avoir une idée précise du niveau de sécurité de chacun de ses tiers à tout moment pour savoir où et quand elle doit mettre en œuvre une solution palliative pour limiter le risque que pourrait représenter la défaillance de l’un d’entre eux.

Pour que cette approche soit économiquement viable, l’automatisation est essentielle. Une évaluation continue et adaptée à la criticité de chacun des tiers doit être mise en place, s’appuyant sur des données actualisées en temps réel pour refléter au mieux la réalité du terrain.

Traditionnellement, le risque cyber est évalué de manière ponctuelle, au mieux une fois par an ; cela ne suffit plus dans un environnement où les menaces évoluent chaque jour. Le véritable enjeu est de passer à une évaluation dynamique et continue, où chaque mouvement des acteurs de l’écosystème de l’entreprise est observé et analysé pour anticiper les attaques.

En conclusion, la sécurité des entreprises ne dépend plus uniquement de leurs propres défenses, mais aussi de celles de leurs partenaires. C’est le collectif qui doit gagner ! Et pour cela, adopter une approche dynamique et collaborative est indispensable. Cette démarche doit pouvoir s’appuyer sur des outils adaptés pour relever ce défi et assurer la protection des entreprises dans un monde numérique en constante évolution.

 

Olivier PATOLE, Président de Trustable

à lire aussi

Paris 2024 confie à SCC le projet d’affichage dynamique pour l’information voyageur

L'un des principaux objectifs des Jeux Olympiques et Paralympiques...

Watsoft choisit Enreach pour enrichir son catalogue de solutions téléphoniques

Enreach for Service Providers annonce un accord de distribution...

Cybersécurité des données de santé : importance de la souveraineté et des bonnes pratiques

Dans le secteur de la santé, la souveraineté des données est un enjeu...

Durabilité énergétique : nLighten lance le Score CFE Intégré

nLighten une amélioration de la mesure Carbon Free Energy...

PROCHAINS WEBINAIRES


Dans la même catégorie

Cybersécurité des données de santé : importance de la souveraineté et des bonnes pratiques

Dans le secteur de la santé, la souveraineté des données est un enjeu...

Denis Flaven, Directeur Ingénierie chez COMBODO Les enjeux de sécurité...

Directive NIS 2 : Quelles sont les Nouveautés et Comment s’y Préparer ?

La directive NIS 2 (Network and Information System Security)...

Le virage de l’IA générative se fera-t-il sans les Data Scientists ?

Au moment où les IA génératives s’imposent dans les...

Ça pourrait vous interresser

Accompagnement au changement : fondement de tout projet ITSM réussi

La mise en place d’un projet ITSM au sein d’une entreprise est incontestablement un projet stratégique et structurant. Si les dimensions de conceptualisation, de technologies...

Déploiement Zero Trust : étapes, conseils et bonnes pratiques

Par Simon Bonin - Expert Sécurité chez IMS Networks La mise en place d’un projet ZTNA (ou Zero Trust Network Access) requiert certains prérequis, inhérents à...

Défis et solutions pour optimiser l’accueil citoyen et la communication dans les collectivités locales

Les conditions d’accueil dans les collectivités locales peuvent varier en fonction de la taille de la collectivité et des ressources disponibles. Dans de nombreuses...