La cybercriminalité est un mal qui attaque sans distinction les individus et les petites ou grandes entreprises. Pour lutter contre ce fléau, seule une bonne gestion des risques peut permettre de coordonner efficacement les meilleures mesures de protection.
Il n’y a pas de solution miracle contre la cybercriminalité
Pour être clair, il n’y a pas de solution miracle qui va permettre à votre entreprise de se prémunir contre la cybercriminalité. Tout comme un firewall ne protège pas seul contre les intrusions depuis internet, la lutte contre la cybercriminalité ne peut pas se limiter à une solution technique.
Sachant que chaque environnement est spécifique, une mesure de protection ne peut donc pas être universelle et avoir la même efficacité partout. Il y a lieu de se rappeler que la sécurité s’appuie sur 3 piliers essentiels que sont:
-
Les 3 dimensions élémentaires pour décrire un environnement
L’organisation qui permet de clarifier l’autorité, les responsabilités et les tà¢ches respectives dans une organisation;
- Les processus qui précise le fonctionnement et les activités;
- Les outils et la technologie qui répondent aux besoins de l’organisation et des processus pour effectuer des tà¢ches et idéalement de manière exacte et complète.
Lutter contre la cybercriminalité revient donc à mettre en musique de manière parfaite ces 3 dimensions pour prévenir au mieux et savoir répondre de manière adéquate si un événement anormal venait à survenir. En reprenant l’exemple du firewall, il est évident que son efficacité contre les intrusions ne vaut pas grand chose si les responsabilités et les règles de mises à jour des règles de filtrages n’ont pas été clairement définies par exemple.
La Direction doit comprendre les risques liés à la cybercriminalité
Dans une organisation, la gestion de la cybercriminalité doit s’intégrer totalement dans une gestion des risques au niveau de l’entreprise. Elle permettra d’inclure les spécificités (organisation en place, mode de fonctionnement et technologie en place …. voir lien avec paragraphe précédent) et de définir quelle est la stratégie de lutte contre les différents risques de la cybercriminalité: fraude, déni de service, hacking, espionnage, …
Dans cette logique, la compréhension et l’implication de la Direction est stratégique pour la réussite de la lutte contre la cybercriminalité:
- Les directeurs doivent comprendre et appréhender la cybersécurité comme un problème de gestion des risques à l’échelle de l’entreprise et pas la considérer seulement comme une question informatique;
- Les directeurs doivent comprendre les implications juridiques des cyber-risques pour le contexte spécifique de leur entreprise;
- La direction devrait avoir accès à du conseil spécialisée et de l’expertise en matière de cybersécurité. Elle devrait également fixer régulièrement un temps suffisant sur l’ordre du jour des réunions de la Direction et du Conseil d’administration pour discuter de la gestion des cyber-risques;
- Les administrateurs doivent définir les attentes vis-à -vis de la Direction afin qu’elle mette en place un cadre de gestion des cyber-risque à l’échelle de l’entreprise avec des effectifs et le budget adapté;
- Les discussion sur les cyber-risques entre la direction et les cadres supérieurs doivent permettre d’identifier et valider quels risques sont à éviter, à atténuer ou à transférer ainsi que définir des plans de mitigation spécifiques selon chaque approche.
La gestion des risques est donc centrale pour assurer un ensemble cohérent de mesures de protection et une mise en place adaptée sur les vulnérabilités potentielles les plus graves pour l’entreprise concernée.
Cette note a été créée sur la base de l’article ci-dessous :
A new handbook from National Association of Corporate Directors, titled Cyber-Risk Oversight, offers five principles to guide boards of directors in helping their organizations address IT security threats.
via 5 Ways Boards Could Tackle Cybersecurity – BankInfoSecurity.
3 Comments
Comments are closed.
Pingback: Retour aux fondamentaux pour la "lutte aga...