DSI NumériquePartage d'expériencesRisque cyber et entreprise étendue : comment évaluer et protéger un système...

Risque cyber et entreprise étendue : comment évaluer et protéger un système d’information fluide

De nos jours, pour une entreprise, assurer sa sécurité informatique est devenu un sport collectif où tous ses partenaires et ses fournisseurs doivent mouiller le maillot pour vaincre la cybermenace.

Dans un monde où les frontières numériques s’estompent entre les différents acteurs de l’économie, les données circulent tous les jours et les collaborations avec des tiers se multiplient constamment. Dans ce contexte, le périmètre que doit protéger une entreprise n’est plus à considérer comme un bloc solide et inerte, mais plutôt comme un flux s’étendant dans diverses directions simultanément.

Assurer la sécurité d’un système d’information mouvant sur lequel reposent ses données et ses services s’avère être le défi crucial auquel sont confrontés les Responsables de la sécurité des Systèmes d’Information des entreprises d’un nouveau genre, dites étendues[1].

La digitalisation et l’externalisation de tout ou partie des moyens de production, des canaux de vente et bien d’autres organes structurant pour une entreprise, ont profondément changé le profil informatique des organisations. Ce dernier est passé d’un bloc monolithique à un patchwork IT constitué d’un bout de système d’information local, d’une multitude d’environnements Cloud, de systèmes mutualisés et autres applications fournis par des tiers, faisant ainsi reposer les processus clé de l’entreprise sur des environnements plus ou moins maîtrisés par celle-ci.

Chaque entreprise doit considérer son écosystème numérique dans le cadre de sa stratégie de protection. Ainsi, chacun de ses tiers doit être considéré en fonction de son importance dans sa chaîne de valeur. Pour cela, voici une approche en trois étapes :

  1. Identifier ses activités métier clé et les données qui en dépendent
  2. Identifier les tiers qui sont impliqués dans ses activités clé ou qui disposent de ses informations sensibles
  3. Évaluer de manière continue et proportionnée le niveau de sécurité de chacun de ses tiers

1.Identifier ses activités métier clés et les données qui en dépendent

L’entreprise doit avant tout être consciente des activités et des données qui sont essentielles pour son bon fonctionnement. L’exercice d’inventaire des actifs de l’entreprise est indispensable et systématique. Cela permet d’identifier à tout moment si les éléments qui sont ainsi reconnus comme importants sont correctement protégés.

2.Cartographier son écosystème

L’entreprise doit être capable de savoir quels sont les tiers qui interviennent sur ses activités clé ou qui disposent de ses données sensibles. Pour cela, il est recommandé de compléter l’analyse d’impact métier par une cartographie des interactions existantes avec des partenaires et des fournisseurs, ce afin d’apprécier l’impact que peut représenter la défaillance de l’un deux.

En effet, certains processus clé de l’entreprise peuvent être assurés par un tiers, ce qui rendrait l’entreprise tributaire de sa fiabilité.

 

3.Évaluer ses tiers de façon continue et proportionnée

L’entreprise doit être en mesure d’avoir une idée précise du niveau de sécurité de chacun de ses tiers à tout moment pour savoir où et quand elle doit mettre en œuvre une solution palliative pour limiter le risque que pourrait représenter la défaillance de l’un d’entre eux.

Pour que cette approche soit économiquement viable, l’automatisation est essentielle. Une évaluation continue et adaptée à la criticité de chacun des tiers doit être mise en place, s’appuyant sur des données actualisées en temps réel pour refléter au mieux la réalité du terrain.

Traditionnellement, le risque cyber est évalué de manière ponctuelle, au mieux une fois par an ; cela ne suffit plus dans un environnement où les menaces évoluent chaque jour. Le véritable enjeu est de passer à une évaluation dynamique et continue, où chaque mouvement des acteurs de l’écosystème de l’entreprise est observé et analysé pour anticiper les attaques.

En conclusion, la sécurité des entreprises ne dépend plus uniquement de leurs propres défenses, mais aussi de celles de leurs partenaires. C’est le collectif qui doit gagner ! Et pour cela, adopter une approche dynamique et collaborative est indispensable. Cette démarche doit pouvoir s’appuyer sur des outils adaptés pour relever ce défi et assurer la protection des entreprises dans un monde numérique en constante évolution.

 

Olivier PATOLE, Président de Trustable

-- LIVRE BLANC --

Articles récents

Cela pourrait aussi vous interesser
Innovations

Jumeau numérique et supply chain : vers une meilleure résilience

Crise sanitaire, pénurie, faillite ou grève d’un fournisseur… Pour...

Optimisation des DSI : les bénéfices de l’observabilité en entreprise

Au centre des processus de travail des collaborateurs, le...

DEM et SASE : l’alliance pour une connectivité et sécurité optimales

1.Introduction et contexte La transformation numérique a profondément modifié les...

Renforcez votre stratégie de cybersécurité avec le livre de Michel Gérard

Entrepreneur depuis près de 30 ans dans le domaine...

Provence.ai : une avancée majeure pour la vérification et le traitement documentaire

Après plusieurs années de R&D, Nicolas Woirhaye lance les...

Alliance Eurêka Solutions-AMABIS : vers une conformité RGPD simplifiée

Eurêka Solutions, éditeur de solutions ERP, annonce un partenariat...

nLighten France : un acteur clé des infrastructures numériques locales et européennes

Euclyde Datacenters, acteur incontournable des Datacenters Edge de nouvelle...

Performances et fiabilité : l’atout de la fibre optique en milieu professionnel

S’appuyer sur une connexion rapide, sécurisée et fiable est...

Gagner en compétitivité : l’impact des outils numériques sur les petites structures

L’apport du numérique dans le quotidien des entreprises de...

Sopra HR Software intègre l’assistant Shortways pour optimiser les processus RH

Shortways étoffe son cercle de partenaires stratégiques en annonçant...

I-TRACING accompagne Motul vers une plus grande maturité cyber

Motul collabore depuis 2022 avec I-TRACING pour développer la...