La conception d’un système d’information sécurisé (cybersécurité) ne se résume pas uniquement à l’implémentation de mesures techniques pour être en conformité réglementaire.
Il s’agit en plus de la protection des infrastructures, de protéger les personnes et les biens. C’est pourquoi l’organisation de l’entreprise et de ses différentes composantes doit permettre de prendre des décisions stratégiques importantes pour une réelle et efficace maîtrise des risques.
Le défi de la cybersécurité est souvent celui d’expliquer et de convaincre les directions de déployer une politique globale de la sécurité.
C’est pour cela qu’il est nécessaire d’identifier clairement les valeurs à protéger ainsi que les risques inhérents au système d’information afin de déterminer les besoins de sécurité et les moyens de les satisfaire. Ce patrimoine numérique doit être identifier selon un périmètre précis.
Outre les mesures de sécurité proactives de protection des valeurs, il est tout aussi important de prévoir des mesures réactives pour pallier à la survenue d’incidents non sollicités, qu’ils soient d’origine criminelle ou accidentelle. Les outils de sécurité doivent être accompagnés par des procédures d’exploitation et de gestion, avec un personnel formé à ces mesures, normes, exigences et cadres réglementaires. (ISO 2700x, RGPD, RGS…)
Le tableau ci-dessous doit permettre d’avoir une vision globale sur les capacités, les objectifs et les moyens de sécurité d’un système d’information
| Capacité d’un système à |
Objectifs de sécurité | Moyens de sécurité |
| Pouvoir être utilisé | Disponibilité | Dimensionnement |
| Accessibilité | Gestion systèmes/ réseau | |
| Pérennité | Redondance | |
| Procédures de sauvegardes | ||
| Exécuter des actions | Intégrité | Conception |
| Sûreté de fonctionnement | Performance | |
| Fiabilité | Ergonomie | |
| Durabilité | Qualité de service | |
| Maintenance opérationnelle | ||
| Permette l’accès | Confidentialité | Contrôle d’accès |
| aux entités autorisées | Intégrité | Gestion des identités |
| Authentification | ||
| Chiffrement | ||
| Prouver des actions | Non-répudiation | Enregistrement, traçabilité |
| Imputabilité | ||
| Traçabilité | ||
| Authenticité | ||
| Conformité | ||
Réf. : Cybersécurité – Analyser les risques et mettre en œuvre les solutions S. Ghernaouti
Afin de mieux comprendre ces exigences, vous trouverez des guides sur les bonnes pratiques de sécurité informatique sur le site de l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) : https://www.ssi.gouv.fr/administration/bonnes-pratiques/
Une défense en profondeur implique une bonne infrastructure (LANs, VLANs, DMZs…), une bonne gestion des identités, des accès réseaux et des périphériques utilisateurs maîtrisés, un durcissement des OS serveurs, poste de travail et autres actifs et des systèmes à jour, des protocoles fiables, des flux chiffrés avec des algorithmes robustes…
Tout ceci passe par une bonne connaissance de son système d’information, une documentation et des procédures à jour, une connaissance des données sensibles à protéger et des risques les plus probables et/ou impactants.
Et bien évidemment, des plans d’action pour assurer la résilience avec des sauvegardes et des restaurations régulièrement testées.