En matière de cybersécurité, la PSSI n’est pas suffisante

Virus, rançongiciel, piratage, malveillance, failles du facteur humain… Les cybermenaces sont bien connues et l’impact financier que subissent les entreprises victimes est conséquent. On se rappelle, entre-autre, des rançons s’élevant à plusieurs milliers de dollars pour des hôpitaux victimes de rançongiciels et 773 000€ serait le coût moyen estimé d’une cyberattaque. Face à ces faits,…

Virus, rançongiciel, piratage, malveillance, failles du facteur humain… Les cybermenaces sont bien connues et l’impact financier que subissent les entreprises victimes est conséquent. On se rappelle, entre-autre, des rançons s’élevant à plusieurs milliers de dollars pour des hôpitaux victimes de rançongiciels et 773 000€ serait le coût moyen estimé d’une cyberattaque. Face à ces faits, nombreux sont les systèmes de sécurité déployés pour se protéger de ces attaques. Pourtant 100 % des sociétés ayant subi une malveillance étaient sécurisées et la voie d’entrée des cybercriminels tient encore souvent à un simple mot de passe laissé par l’utilisateur lui-même dans son bureau. Alors quels recours pour les entreprises ?

Un élément nécessaire est la construction d’une politique de sécurité des systèmes d’information (PSSI) : un plan d’actions défini pour maintenir un certain niveau de sécurité. L’entreprise y inscrit sa vision stratégique en matière de sécurité des systèmes d’information (SSI). Cette PSSI, qui constitue le principal document de référence, définit les objectifs à atteindre et les moyens accordés pour y parvenir grâce à une analyse des risques du SSI qui aura été préalablement menée.

Lorsque la PSSI est validée par tous les différents acteurs de la sécurité de l’entreprise, elle est ensuite diffusée à l’ensemble des acteurs du système d’information (utilisateurs, exploitants, sous-traitants, prestataires…).

Il faut savoir qu’aujourd’hui, établir une PSSI n’est pas obligatoire, seules existent des recommandations et des bonnes pratiques telles que celles communiquées par l’ANSSI. En réalité, les sociétés rédigeant une PSSI sont en général de grandes entreprises, organisées, structurées, qui ont des services dédiés, du temps et du budget pour élaborer cette politique.

Quid des plus petites sociétés et autres organismes ?

En l’absence de PSSI, c’est souvent le « bon sens », ou des directives orales qui dictent les règles de sécurité. De même, si un partenaire, un fournisseur, un client, ne suit pas la PSSI de l’entreprise avec qui il travaille, alors la sécurité et la protection des données et des documents qui leur sont transmises peuvent être questionnées.

De plus, communiquer la politique de sécurité au sein de l’entreprise ne suffit pas. Encore faut-il que le personnel soit formé pour répondre aux problématiques du SSI.

Chaque personne possède au sein de l’entreprise ses connaissances, son savoir-faire et ses expériences. La perte d’un membre du personnel, pour quelque raison que ce soit, constitue également la perte de ses connaissances, savoir-faire et expériences… Une politique de formation et de transfert des connaissances représente un véritable atout pour l’entreprise, surtout dans un contexte où la sécurité et les menaces informatiques évoluent constamment.

D’autre part, lorsqu’on parle d’évolution de la cybersécurité et surtout des diversifications et des multiplications des cybermenaces, qu’en est-il de la PSSI ?

Sachant qu’à peine la moitié des entreprises françaises évaluent l’ensemble de leurs risques tous les ans et que les PME se sentent encore peu préoccupées par la gestion des risques informatiques (faits communément admis sans toutefois être chiffrés), on peut supposer qu’établir ou revoir une PSSI n’est malheureusement pas une priorité.

Et même si pour ceux qui ont défini une PSSI il semble primordial de la mettre à jour, les contraintes restent fortes : il faut disposer d’une équipe pour réécrire le plan d’actions, le soumettre à validation puis le diffuser à nouveau avec les modifications, ce qui demande du temps. Dès lors, la préoccupation de l’entreprise doit être l’application de ces mises à jour. Comment ? Par un contrôle continu et permanent de l’efficacité de la cybersécurité, tel que le propose des services comme Cyberprotect.

Car effectivement, toute nouvelle mesure ou règle perd de sa pertinence et de sa raison d’être si son application et son efficacité ne sont pas contrôlées. La confiance direz-vous ? Plusieurs exemples récents de piratages et de déploiement de maliciels nous montre que la confiance n’empêche pas la pénétration des systèmes de sécurité par des cybercriminels, que ce soit à causes de failles humaines ou techniques (partage de mot de passe (ang) ou vente, usurpation d’identité).

Alors sans rentrer dans de la paranoïa effrénée, et même si Andy Grove, Président d’Intel, disait « Seuls les paranoïaques survivent« , gardons à l’esprit que la définition d’une PSSI c’est bien, mais contrôler son application et son efficacité, c’est mieux.

Cécile FIORE – CM & Marketing – Cyberprotect

React