À Chaud :

Euclyde Datacenters annonce son rebranding en nLighten France

Euclyde Datacenters, acteur incontournable des Datacenters Edge de nouvelle...

ITS Services choisit Aerospike comme partenaire pour ses solutions de gestion des données de nouvelle génération

ITS Services, leader reconnu dans les domaines des Infrastructures...

TYREX CYBER reçoit un award pour sa solution adaptée au secteur maritime

TYREX CYBER  voit son expertise et l’innovation de ses...
Expertise professionnelleComment les entreprises peuvent évaluer en continu le risque cyber dans un...

Comment les entreprises peuvent évaluer en continu le risque cyber dans un environnement digital

De nos jours, pour une entreprise, assurer sa sécurité informatique est devenu un sport collectif où tous ses partenaires et ses fournisseurs doivent mouiller le maillot pour vaincre la cybermenace.

Dans un monde où les frontières numériques s’estompent entre les différents acteurs de l’économie, les données circulent tous les jours et les collaborations avec des tiers se multiplient constamment. Dans ce contexte, le périmètre que doit protéger une entreprise n’est plus à considérer comme un bloc solide et inerte, mais plutôt comme un flux s’étendant dans diverses directions simultanément.

Assurer la sécurité d’un système d’information mouvant sur lequel reposent ses données et ses services s’avère être le défi crucial auquel sont confrontés les Responsables de la sécurité des Systèmes d’Information des entreprises d’un nouveau genre, dites étendues[1].

La digitalisation et l’externalisation de tout ou partie des moyens de production, des canaux de vente et bien d’autres organes structurant pour une entreprise, ont profondément changé le profil informatique des organisations. Ce dernier est passé d’un bloc monolithique à un patchwork IT constitué d’un bout de système d’information local, d’une multitude d’environnements Cloud, de systèmes mutualisés et autres applications fournis par des tiers, faisant ainsi reposer les processus clé de l’entreprise sur des environnements plus ou moins maîtrisés par celle-ci.

Chaque entreprise doit considérer son écosystème numérique dans le cadre de sa stratégie de protection. Ainsi, chacun de ses tiers doit être considéré en fonction de son importance dans sa chaîne de valeur. Pour cela, voici une approche en trois étapes :

  1. Identifier ses activités métier clé et les données qui en dépendent
  2. Identifier les tiers qui sont impliqués dans ses activités clé ou qui disposent de ses informations sensibles
  3. Évaluer de manière continue et proportionnée le niveau de sécurité de chacun de ses tiers

1.Identifier ses activités métier clés et les données qui en dépendent

L’entreprise doit avant tout être consciente des activités et des données qui sont essentielles pour son bon fonctionnement. L’exercice d’inventaire des actifs de l’entreprise est indispensable et systématique. Cela permet d’identifier à tout moment si les éléments qui sont ainsi reconnus comme importants sont correctement protégés.

2.Cartographier son écosystème

L’entreprise doit être capable de savoir quels sont les tiers qui interviennent sur ses activités clé ou qui disposent de ses données sensibles. Pour cela, il est recommandé de compléter l’analyse d’impact métier par une cartographie des interactions existantes avec des partenaires et des fournisseurs, ce afin d’apprécier l’impact que peut représenter la défaillance de l’un deux.

En effet, certains processus clé de l’entreprise peuvent être assurés par un tiers, ce qui rendrait l’entreprise tributaire de sa fiabilité.

 

3.Évaluer ses tiers de façon continue et proportionnée

L’entreprise doit être en mesure d’avoir une idée précise du niveau de sécurité de chacun de ses tiers à tout moment pour savoir où et quand elle doit mettre en œuvre une solution palliative pour limiter le risque que pourrait représenter la défaillance de l’un d’entre eux.

Pour que cette approche soit économiquement viable, l’automatisation est essentielle. Une évaluation continue et adaptée à la criticité de chacun des tiers doit être mise en place, s’appuyant sur des données actualisées en temps réel pour refléter au mieux la réalité du terrain.

Traditionnellement, le risque cyber est évalué de manière ponctuelle, au mieux une fois par an ; cela ne suffit plus dans un environnement où les menaces évoluent chaque jour. Le véritable enjeu est de passer à une évaluation dynamique et continue, où chaque mouvement des acteurs de l’écosystème de l’entreprise est observé et analysé pour anticiper les attaques.

En conclusion, la sécurité des entreprises ne dépend plus uniquement de leurs propres défenses, mais aussi de celles de leurs partenaires. C’est le collectif qui doit gagner ! Et pour cela, adopter une approche dynamique et collaborative est indispensable. Cette démarche doit pouvoir s’appuyer sur des outils adaptés pour relever ce défi et assurer la protection des entreprises dans un monde numérique en constante évolution.

 

Olivier PATOLE, Président de Trustable

à lire aussi

Wraptor aide Normandie Santé à devenir opérateur de messagerie sécurisée MSSanté

Wraptor voit une nouvelle fois son expertise saluée en...

Postes ouverts chez Provence.ai : développez des solutions IA innovantes

Provence.ai, la startup qui révolutionne le traitement de documents...

Croissance durable : MYPE investit dans l’innovation pour 2025

MYPE annonce un chiffre d’affaires de 805 000 euros en croissance...

Implémenter Copilot en toute sécurité : audits, DLP et bonnes pratiques

Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme...

Dans la même catégorie

Implémenter Copilot en toute sécurité : audits, DLP et bonnes pratiques

Lorsqu'une entreprise décide d'intégrer des outils d'IA avancés comme...

Comment l’IA transforme les processus de gestion et d’engagement client

Par Bertrand Pourcelot, DG Enreach for Service Providers L’IA s’invite...

Architecture DECT : Garantir une couverture et une qualité d’écoute optimales

S’appuyer sur des infrastructures télécoms performantes se positionne comme...

Les enjeux de la cybersécurité dans le secteur médical selon l’ANSSI

Par Geoffroy de Lavenne, Directeur Général d’ITS Integra L’ANSSI vient...

Ça pourrait vous interresser

Prévenir les risques informatiques grâce à l’audit de maturité cyber

Sécuriser son organisation est un sujet qui devrait aujourd’hui être une évidence pour l’ensemble des entreprises et structures publiques. En effet, de plus en...

Quelle place pour l’Intelligence artificielle dans la Supply Chain ?

Gérer toujours plus efficacement ses opérations et accroitre son agilité sont des données stratégiques pour les professionnels de la Supply Chain. Ces derniers se...

Automatisation des charges de travail : un pilier pour une stratégie RSE efficace

La mise en œuvre et l’exploitation de projets IT doivent aujourd’hui s’inscrire dans une tendance durable. Dans ce contexte, le workload automation (automatisation des...