Si vous êtes convaincu que les informations représentent un « actif » important pour votre organisation, alors, il vous faudra prendre des mesures !
Les crises, les attaques, les fuites d’informations arriveront, c’est certain. Juste on ne sait pas quand.
Gérer une crise, nécessite d’être prêt ! Une gestion de crise nécessite donc une bonne préparation via la mise en place de processus et d’outils éprouvés. Des référentiels ISO, ou la réglementation RGPD offrent des opportunités de se poser les bonnes questions.
Au minimum, il vous faudra disposer des éléments pour permettre aux équipes techniques (cyber et IT) ou aux autorités, de réaliser les investigations :
- une liste des applications et des services critiques ;
- une cartographie des systèmes sur lesquels les services métiers critiques reposent et sont reliés entre eux ;
- une cartographie des périphériques, des bases de données ;
- une liste des interdépendances entre les métiers et les partenaires extérieurs (partenaires, sous-traitants, infogérant, etc.) ;
- une cartographie des parties prenantes avec les points de contact (en particulier si une partie des systèmes est en sous-traitance) ;
- une liste des moyens de supervision et de détection et leur périmètre ;
- une politique de rétention des journaux/logs applicatifs et réseaux ;
- une matrice des flux d’information ;
- les architectures des réseaux et des éléments fonctionnels, permettant de faire le lien entre les systèmes d’information et les processus métiers.
- un plan de continuité des activités, validé, et éprouvé.
L’ANSSI a publié récemment un guide que vous pouvez télécharger sur : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf
A la BCSS un groupe de travail a rédigé des normes minimales qui s’inspirent de standards reconnus au niveau international. Objectifs : renforcer les règles de sécurité et les moyens de contrôle, afin de garantir le niveau de sécurité général de l’ensemble des institutions de sécurité sociale. Cette approche est essentielle pour l’organisation et l’échange de données entre les institutions. C’est sur la base de ces aspects qui s’inspirent des normes ISO 27XXX que le délégué à la protection des données réalise son analyse des risques et des menaces en rapport avec les structures et systèmes informatiques qui l’entourent. La BCSS a publié ces recommandations basées sur ISO 27002 sur : https://www.bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation
Bureau Ernoux accompagne de nombreuses entreprises et organisations publiques dans cette réflexion. Et nous essayons, via des réflexions autour de la conformité RGPD, ou autour des référentiels comme ISO 27001, de promouvoir une plus grande maturité numérique. Car notre monde se transforme, change très rapidement.
La « transformation numérique » est incontournable. Mais expose les organisations à des risques nouveaux. Risques qu’il ne faut pas subir mais réduire le plus efficacement possible.