Il est devenu crucial pour toutes les organisations de revoir chaque année leur stratégie de cybersécurité. Face à des menaces de plus en plus sophistiquées, les entreprises, quelles que soient leur taille, doivent mettre en place des solutions efficaces pour réduire leur vulnérabilité aux cyber-risques. La période de la rentrée offre une occasion propice pour évaluer la situation actuelle et planifier les améliorations nécessaires afin de renforcer la gouvernance en matière de cybersécurité, notamment en termes de ressources et d'actions à entreprendre.
S'appuyer sur une analyse des risques objectives
Pour ce faire, il est essentiel de prendre en compte toutes les spécificités de l'organisation à un instant donné et d'inclure les nouvelles activités ou périmètres qui ont pu modifier la situation existante (fusions, restructurations, déménagements, etc.). Il convient aussi d'évaluer le contexte externe, notamment l'évolution des menaces cyber, des règlementations et des événements géopolitiques. Cela permet de dresser une cartographie précise des risques actuels et de repérer les plus critiques. Les responsables de la sécurité (RSSI) peuvent s’appuyer sur des méthodes éprouvées, telles que l'EBIOS Risk Manager de l'ANSSI, pour évaluer ces risques et définir les mesures de sécurité à mettre en place. Il est également important d'intégrer les spécificités sectorielles et contextuelles propres à chaque entreprise pour garantir une approche complète.
Inclure l’aspect humain
Le mois de la cybersécurité en octobre est une bonne occasion pour sensibiliser les collaborateurs aux enjeux de la cybersécurité, afin qu'ils adoptent les bonnes pratiques, comme éviter de cliquer sur des liens suspects ou être attentifs dans diverses situations. Des campagnes de sensibilisation, adaptées aux différents profils, peuvent être déployées sous plusieurs formats. Cette sensibilisation des équipes constitue un pilier central pour une gouvernance efficace de la cybersécurité.
C'est également le moment idéal pour évaluer et planifier les besoins en ressources pour les mois à venir, qu'il s'agisse de recruter de nouveaux talents ou de solliciter des experts externes. Ces décisions doivent être basées sur l'analyse des risques préalablement effectuée.
Vérifier la résilience de l'infrastructure et du SI
Enfin, il est nécessaire de revoir et tester le Plan de Continuité d'Activité (PCA) à travers des exercices pratiques pour garantir que les services essentiels restent opérationnels en cas de crise. Il est primordial que ce processus soit bien maîtrisé et que les équipes responsables soient formées et prêtes à réagir.
Ces trois points clés constituent les actions essentielles pour améliorer son dispositif de cybersécurité et s'assurer que l'organisation dispose d'une gouvernance adaptée et actualisée.
Auteur : Inforisque.Source : Romain VERGNIOL Directeur Cybersécurité – Groupe Cegedim.
Continuer avec Linkedin