A quand remonte votre dernier audit de sécurité ?

Un mois ? Un an ? La semaine dernière ? Jamais ? La réponse importe peu. Le sujet primordial est la prise de conscience de la nécessité de réaliser un état des lieux du niveau de sécurisation du SI.
 

Partons du principe que vous n’en avez jamais fait.
Vos collaborateurs sont-ils assez compétents pour garantir que toutes les mesures conservatoires sont prises (selon l’état de l’art) pour sécuriser le SI, ses éléments hardware ainsi que l’accès à distance des services et logiciels ? La réponse est non.

Car même le meilleur des meilleurs omettra toujours quelque chose qui vous rendra vulnérable, c’est presque écrit, la seule inconnue sera de savoir quand.

L’avantage d’un test d’intrusion est que des personnes extérieures, spécialistes du sujet, vont démontrer les failles et autres vulnérabilités présentes en expliquant leurs risques directs ou encore l’impact financier que cela pourrait avoir sur le PCA ou PRA (Plan de Continuité/Reprise d’Activité de votre structure. Ces spécialistes proposeront des solutions et, fonction du cabinet, accompagneront dans la mise en place des mesures nécessaires à l’implémentation d’une Politique de Sécurité des Systèmes d’Information (PSSI).

Passée cette étape, il sera de la responsabilité de la direction de l’entreprise (selon le cas, le PDG ou le DG) ainsi que du RSSI (fraichement nommé) de passer ces risques en revue et de mettre à disposition les moyens financiers, matériels et humains nécessaires pour mener à bien cette conduite du changement.

Car oui, il s’agit simplement de changer les habitudes de chacun en écrivant des procédures adaptées aux métiers de l’entreprise pour faire évoluer rapidement le sujet. Les points les plus bloquants feront souvent l’objet de dérogations, mais il sera nécessaire de les documenter afin de pouvoir les remettre en cause à tout moment.

Vous avez déjà fait le nécessaire ?
C’est une bonne chose ! Maintenant, quelles sont les actions qui ont été mises en œuvre pour pallier aux risques remontés pendant cet audit ? Un suivi régulier et rigoureux des premières décisions a-t-il été organisé après que le prestataire ait rendu son rapport d’audit ? L’avez-vous, vous-même ou votre hiérarchie, accepté ?

Dans l’univers des télécoms, l’expérience enseigne une chose, c’est que le plus dur n’est pas d’identifier les problèmes, mais de les assumer et de mener une conduite du changement auprès des collaborateurs, collègues ou même la hiérarchie. Et d’avoir le courage de dire sans détour « Nous avons fait des erreurs, mais aujourd’hui nous allons les corriger ensemble ».

Seule la rédaction d’une PSSI peut pallier à cela, car ce qui devient concret (document écrit, procédure, règlement…), cela n’est plus discutable ou soumis à interprétation. La sécurité, qu’elle soit cyber ou physique, est une remise en question permanente de ce qui a été parole d’évangile pendant des années.

Les lois évoluent, la Réglementation Générale sur la Protection des Données (RGPD) change le paysage de responsabilités de tous les secteurs et plus personne ne peut aujourd’hui ignorer ce sujet. Une chose est sûre, que vous soyez dans un grand groupe ou dans une TPE, seul un œil extérieur pourra vous aider à mettre le doigt sur vos faiblesses.
Deux conseils : faites-vous conseiller par des spécialistes de l’audit, et parlez avec vos pairs, collègues, homologues, pour avoir un point de vue exhaustif et vous permettre de mener à bien ce travail sans tomber dans les excès. La sécurité est avant tout une affaire de dosage, maitrisez vos coûts et les compétences nécessaires en plaçant le curseur au bon endroit !