Sécurité Informatique et Gouvernance des Renseignements : Une Stratégie Collective pour les Entreprises Élargies

Aujourd’hui, garantir la sécurité informatique et la bonne gouvernance des renseignements d’une entreprise est devenu un effort collectif où tous ses partenaires et fournisseurs doivent s’impliquer activement pour contrer les cybermenaces et les incidents liés à la sécurité et à la confidentialité.

Quelle stratégie adopter pour les fournisseurs tiers d’outils et services?

Dans un environnement où les frontières numériques deviennent floues entre les différents acteurs économiques, les données et renseignements circulent quotidiennement, et les collaborations avec des tiers se multiplient sans toujours se soucier des différentes conventions. Dans ce contexte, le périmètre de protection d’une entreprise ne doit plus être perçu comme une entité solide et immobile, mais plutôt comme un flux dynamique s’étendant dans plusieurs directions.

Assurer la sécurité physique et numérique en constante évolution, sur laquelle reposent les données et services de l’entreprise, constitue le principal défi pour les Responsables de la sécurité des Systèmes d’Information des entreprises dites étendues et les responsables de la protection des renseignements personnels et leur équipe de gouvernance.

La digitalisation et l’externalisation de certains ou de tous les moyens de production, canaux de vente et autres structures organisationnelles ont radicalement transformé le profil informatique des entreprises. Celui-ci est passé d’un bloc monolithique à un patchwork IT, composé de systèmes locaux, d’une variété d’environnements Cloud, de systèmes partagés et d’applications tierces avec certaines conventions technologiques qui n’ont pas suivi la parade. Ainsi, les processus clés de l’entreprise reposent sur des environnements plus ou moins contrôlés par celle-ci.

Chaque entreprise doit intégrer son écosystème numérique dans sa stratégie de protection, en considérant chaque tiers en fonction de son importance dans la chaîne de valeur. Voici une approche en trois étapes.

1. Identifier ses activités clés et les données et renseignements associées.

2. Recenser les tiers et intervenants impliqués dans ces activités clés ou ayant accès à ces données et renseignements sensibles.

3. Évaluer continuellement et proportionnellement le niveau de sécurité de chacun de ces tiers et personnes impliquées.

Identifier ses activités clés et les données associées

L’entreprise doit avant tout connaître les activités et les données et renseignements essentiels à son fonctionnement. Un inventaire systématique des actifs de l’entreprise est indispensable pour s’assurer que les éléments identifiés comme critiques sont correctement protégés et bien gérés.

Cartographier son écosystème

L’entreprise doit être en mesure d’identifier les tiers impliqués dans ses activités clés ou ayant accès à ses données sensibles. Une cartographie des interactions avec les partenaires, les employés, les fournisseurs et intervenants sera fondamentale pour les étapes suivantes, permettant de mesurer l’impact potentiel de leur défaillance.

Évaluer ses tiers de manière continue et proportionnée

L’entreprise doit connaître en permanence le niveau de sécurité et de gestion de ses tiers en fonction des services offerts pour savoir où et quand mettre en place des solutions palliatives pour limiter les risques liés à une éventuelle défaillance.

Pour rendre cette approche économiquement viable, la mise en place de la cartographie permet de connaître l’état des lieux. Une évaluation continue et adaptée à la criticité de chaque tiers doit être mise en place, basée sur des données actualisées.

Traditionnellement, le risque cyber était évalué ponctuellement, au mieux une fois par an ; cela n’est plus suffisant dans un environnement où les menaces évoluent quotidiennement. Le véritable défi est de passer à une évaluation dynamique et continue, observant et analysant chaque mouvement des acteurs de l’écosystème de l’entreprise autant au niveau physique que numérique.

Conclusion

La sécurité des entreprises ne repose plus uniquement sur leurs propres défenses, mais aussi sur celles de leurs partenaires. C’est le collectif qui doit l’emporter! Pour cela, une approche dynamique et collaborative est indispensable, appuyée par des outils adaptés pour relever ce défi et protéger les entreprises dans un monde numérique en constante évolution.

Note : L’image illustrant cet article a été créée à l’aide d’une intelligence artificielle générative fournie par le service de LinkedIn.

Accueil  | À propos | Contact |Politique de confidentialité | Préférences des témoins

Sécuriser la conservation et la destruction des renseignements personnelsVers un internet plus privé : La stratégie de Google avec DBSC pour éliminer...