La sécurité informatique : une question de gouvernance avant tout

Dans le précédent article, nous avons listé les mesures pratiques de base à mettre en oeuvre pour atteindre un niveau minimal de sécurité. Cependant, il est crucial de comprendre que la sécurité de votre entreprise ne commence pas avec la technologie, mais avec la gouvernance. Installer un antivirus ou activer une double authentification n’aura qu’un impact limité si vous n’avez pas d’abord défini clairement qui décide, selon quelles règles, et sur la base de quels risques.

Les trois piliers de la cybersécurité

• La gouvernance :
  • Qui est responsable de la sécurité ?
  • Comment sont prises les décisions ?
  • Y a-t-il une chaîne claire de responsabilités ?
    Son importance est soulignée par le fait que l’ISO 27001 y consacre tout son chapitre 5 (Leadership), et que le NIST la représente comme l’élément central de son framework.
    
• Les politiques de sécurité :
  • Quels comportements sont acceptables ?
  • Quelles sont les règles d’usage des systèmes d’information ?
  • Comment gère-t-on les accès, les sauvegardes, les incidents ?
• L’appréciation des risques métier :
  • Chaque entreprise a ses propres vulnérabilités. Connaître les actifs critiques (données clients, propriété intellectuelle, etc.) et les menaces les plus probables permet de prioriser les actions.

Ce n’est qu’une fois ces fondations en place qu’il devient pertinent d’implémenter des mesures techniques, basées sur des principes éprouvés : moindre privilège, segmentation, sauvegardes régulières, supervision, etc.

C’est pourquoi les prochains articles alterneront entre des conseils et outils de gouvernance et techniques.

Conclusion

En résumé : la technologie vient en dernier. La sécurité commence par une décision de gouvernance, alimentée par une bonne compréhension de vos propres risques.