Stratégie Cybersécurité – axe 3 : la normalisation
Une bonne stratégie pour sécuriser un Système d’Information passe par 3 axes : la technologie, l’éducation et la normalisation.
Cet article aborde le 3ème axe : la sécurité par la normalisation.
Dans les 2 précédents articles, nous avons vu que si la technologie est nécessaire, elle est insuffisante et que l’éducation des utilisateurs du SI contribue à limiter les incidents de sécurité, grâce à l’adoption de bonnes pratiques au quotidien.
Mais pour que la stratégie de sécurisation d’un SI soit optimale, il faut également connaître les normes, les règlementations, les préconisations et le cadre légal dans lequel s’inscrit la cybersécurité.
Les normes de cybersécurité décrivent les résultats que l’entreprise ou la collectivité doit obtenir pour atteindre ses objectifs en matière de sécurité.
Parmi les normes en matière de cybersécurité, la plus connue est la norme ISO 27001. La famille des normes ISO 27000 concerne la sécurité des informations des organisations et l’ISO 27001 permet d’analyser les risques et de mettre en place des mesures pour protéger les données informatiques.
Ainsi, ISO 27001 prouve que l’entreprise ou la collectivité respecte les exigences réglementaires internationales. Cela assure une gestion des risques efficiente et une protection maximale en matière de cybersécurité.
Même si une collectivité ne s’engage pas dans un processus de certification ISO 27001, cette dernière mérite d’être connue et peut être utile pour diminuer les risques.
Il est nécessaire de connaître la règlementation en vigueur édictée par les acteurs institutionnels, en France ou en Europe. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est incontournable et publie sur sont site les règlementations en vigueur en France : www.ssi.gouv.fr/administration/reglementation/
Par exemple, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en mai 2018 et vise à renforcer la sécurité des données à caractères personnelles.
Ainsi toute collectivité qui collecte, stocke et utilise des données à caractères personnel, doit connaître et respecter le RGPD, mais aussi désigner un Délégué à la Protection des Données (DPO en anglais). L’ANSSI met à la disposition des collectivités de nombreux supports et outils dont un « kit de la sécurité des données ».
Pour plus de détails sur le sujet, on peut aussi se référer au guide de sensibilisation au RGPD pour les collectivités territoriales, édité par la CNIL : www.cnil.fr/sites/default/files/atoms/files/cnil-guide-collectivite-territoriale.pdf
Il s’agit ici des préconisations des acteurs de la sécurité informatique, c’est-à-dire des éditeurs de logiciels, des constructeurs de matériels et des prestataires qui mettent en service et assurent la maintenance des équipements logiciels et matériels.
Ce point est fondamental. En effet, en matière de sécurité, il est absolument nécessaire de mettre en œuvre les préconisations des éditeurs et constructeurs. Par exemple, les éditeurs de sauvegarde publient les bonnes pratiques à mettre en œuvre sur leur logiciel, afin d’assurer une sauvegarde immuable, qui diminue le risque de cryptolocker (logiciel malveillant) sur les données sauvegardées.
Comme mentionné dans l’article précédent (la sécurité par l’éducation), la mise en place d’un processus d’amélioration continue dans le cadre de la veille est bénéfique. C’est particulièrement le cas pour les préconisations des éditeurs et constructeurs qui évoluent constamment en fonction des menaces.
Un autre exemple concerne la date de fin de support des logiciels. Au-delà de cette date, les éditeurs ne développent plus et ne délivrent donc plus les mises à jour de sécurité, qui corrigent les failles exploitées par les cyber attaquants. C’est le cas notamment de Microsoft, dont les produits bénéficient d’un support pendant 10 ans. Suivez alors les préconisations de vos prestataires, quand ils vous recommandent de monter à niveau les versions de vos logiciels.
La stratégie de sécurisation d’un SI par la normalisation, c’est aussi connaître le cadre légal. En effet, en matière de cybersécurité, les collectivités ont des obligations et des responsabilités.
Les collectivités locales et leurs établissements publics sont tenus à 3 obligations en matière de cybersécurité, dans leurs relations avec les administrés et dans l’exercice de leurs compétences :
- La protection des données personnelles,
- La sécurisation des téléservices locaux,
- La sécurisation de l’hébergement des données de santé.
Connaître le cadre légal, c’est améliorer le niveau de sécurité de la collectivité tout en étant en conformité avec la loi.
Pour en savoir plus, consultez notre article sur ce sujet : www.cogitis.fr/blog/obligations-et-responsabilites-des-collectivites-en-matiere-de-cybersecurite/
En conclusion
Améliorer la sécurité d’un SI par la normalisation, ce n’est pas seulement connaître les normes relatives à la sécurité informatique, c’est aussi connaitre les règlementations, le cadre légal, ou encore appliquer les recommandations et bonnes pratiques des éditeurs, constructeurs et prestataires.
Ce volet permet d’être exhaustif dans la démarche de sécurisation du SI, en complétant les 2 autres axes stratégiques que sont la technologie et l’éducation.
La sécurisation d’un SI ne concerne pas seulement les informaticiens, mais différents métiers au sein d’une entreprise ou collectivité. Le personnel RH et juridique participe notamment, avec les informaticiens et les responsables de la sécurité informatique, à l’amélioration continue du niveau de sécurité du SI.
Stratégie Cybersécurité - axe 1 : la technologie
Quelles solutions techniques pour répondre aux exigences de disponibilité, de confidentialité et d’intégrité de l’information ?
Stratégie Cybersécurité - axe 2 : l'éducation
Aborder la sécurité du Système d’Information par l’éducation, c’est bien sûr former les personnels mais aussi assurer de la veille et des audits de sécurité.
