Memo CERTitude

Sécurité numérique, Information, Réglementation, Méthode, Organisation, Vulnérabilités, Bon sens, Top Management, Différenciant, Fédérer, Engagement, Formation, Réglementation, Réagir, Cyberattaque, Pragmatisme, Incident, Homologation, Valorisation, Humain, Élémentaire, Standard, Renforcée

La démarche Sécurité Numérique
Objectifs Principes Démarche élémentaire Points clés Ressources

Objectifs

Pourquoi se lancer dans une démarche sécurité numérique ?

• Gérer les risques et anticiper des incidents
• Réagir pour ne plus subir d’incidents
• Se conformer à la réglementation
• Développer un différenciant commercial

Principes

• Choisir une démarche adaptée à ses enjeux
• Les différentes démarches :
• Élémentaire : traiter les risques génériques tels que les rançongiciels
• Standard : traiter les risques génériques, engager une démarche vertueuse et valoriser la sécurité numérique
• Renforcée : traiter les risques spécifiques en appliquant une démarche d’homologation de ses systèmes numériques. Faire de la sécurité numérique un avantage concurrentiel.

Ce Mémo ne traite que la démarche élémentaire qui constitue le socle des toutes les démarches sécurité numérique.

Démarche élémentaire

La démarche élémentaire constitue la première marche que toute organisation devrait être en mesure de franchir. Loin de traiter toutes les problématique liées à la sécurité numérique, elle vise à traiter les risques génériques, tels que les rançongiciels, touchant potentiellement toutes les organisations.

La démarche s’appuie sur 4 questions :

• Avez-vous identifié ce qui a de la valeur pour votre activité et quels sont les systèmes numériques importants pour votre activité ?
• Avez-vous formé vos équipes à la sécurité numérique et les tenez vous régulièrement informés des évolutions de ce domaine ?
• Sauvegardez-vous les données importantes pour votre activité et êtes vous en mesure de les restaurer (*) ?
• Saurez-vous quoi faire en cas d’incident de sécurité (comment poursuivre vos activités, qui contacter, etc.) ? Quels types d’incident de sécurité avez-vous envisagé ?

* La réponse à cette question peut sembler évidente en première lecture.
Sauvegarder des données et être capable de les restaurer suite à un incident demande pourtant de s’assurer de plusieurs éléments importants :

• Les données sont-elles sauvegardées sur un média ne présentant pas de « mode commun » avec vos systèmes ?
  Sauvegarder des données sur un disque USB laissé en permanence connecté à vos serveurs ou sauvegarder vos données en les répliquant sur un serveur connecté au même réseau par exemple constituent une mauvaise pratique. En cas d’attaque, le code malveillant (rançongiciel ou autre) contaminera également votre sauvegarde.
• Les sauvegardes sont-elles « saines » ?
  Les fichiers peuvent avoir été corrompus lors de leur sauvegarde. Le seul moyen de s’assurer que les sauvegardes sont saines est d’effectuer des tests de restauration.
• Les sauvegardes sont-elles conservées en lieu sûr et seront-elles accessibles le jour où vous en aurez besoin ?

Se reposer régulièrement ces questions car les risques, comme vos besoins évoluent. La sécurité numérique n'est jamais acquise et demande un effort continu.

Points clés

• Organiser, planifier les travaux
• Dialoguer, partager
• Fédérer les équipes
• Présenter les plus-values de la démarche
• Obtenir l’engagement du top management
• Positionner l'humain au coeur de la démarche

Ressources

• Cybermalvaillance.gouv.fr
• Guides de bonnes pratiques de l’ANSSI
• Formations sécurité numérique
• Réflexes en cas d’incidents
• Memo CERTitude des acronymes fréquents en sécurité numérique.

Septembre 2018

Les Mémos CERTitude NUMERIQUE abordent en quelques mots des thèmes de la sécurité numérique.
Ils ne remplacent en aucune manière les textes réglementaires, guides et référentiels publiés par les autorités nationales et européennes.
N’hésitez pas à faire part de vos commentaires en nous contactant.