Des choix sont faits pour sécuriser la mise en œuvre des technologies numériques par l’entreprise, pour les produits et services fournis et pour l’utilisation de ressources en interne.
L’entreprise, ses clients, ses collaborateurs, doivent être protégés contre les dangers, les risques dont les éléments numériques des produits, services, ressources, ou leur utilisation, pourraient être la cause, contre les menaces numériques. Le développement des possibilités offertes par ces technologies va souvent de pair avec celui des risques associés (actions malveillantes, divulgation de données…).
Les clients sont sensibles à la maîtrise de ces risques. Les fournisseurs de services financiers, par exemple, investissent lourdement pour renforcer la sécurité des SI mis à disposition.
La constatation publique d’une défaillance importante de la sécurité numérique a des effets parfois dévastateurs sur la confiance dans les entreprises. Depuis l’affaire Snowden, par exemple, les fournisseurs de services numériques implantés aux États-Unis font des efforts pour convaincre leurs clients étrangers de leur volonté d’assurer la confidentialité de leurs données stockées, de leurs communications, malgré leurs obligations au regard de la législation de leur pays.
Le piratage de données de grandes organisations, par exemple, est susceptible d’avoir des conséquences très graves.
Les niveaux de sécurité numérique à définir sont faibles, moyens ou forts. Ils correspondent en général aux niveaux habituellement constatés, pour les produits et services proposés sur le marché dans une catégorie, pour les ressources utilisées dans un secteur professionnel, aux spécificités de l’entreprise.
Les choix relatifs aux caractéristiques de sécurité numérique relèvent de la prévention, du traitement des événements constatés, et de la limitation de leurs conséquences dommageables. On présentera ci-après des choix possibles.
Ils portent sur un ou plusieurs éléments numériques. L’amélioration du niveau de sécurité de la mise à disposition d’un SI, par exemple, peut relever à la fois de la sécurisation du SI et de celle de son exploitation.
Origine des dangers, des risques, des menaces
Comme tous les systèmes, équipements, les ensembles matériels et logiciels sont susceptibles de présenter des défauts, des dysfonctionnements, des indisponibilités graves, graves, d’être détruits par un incendie…
Certaines origines des dangers, des risques, des menaces, sont spécifiques au numérique.
Erreurs, manquements aux règles
Des erreurs, des manquements aux règles relatives au numérique, commis par les utilisateurs (internes ou externes), par les professionnels du numérique, sont susceptibles d’avoir des conséquences graves :
– introduction d’informations erronées, de contenu illicite, accès à des fonctions interdites, utilisation de logiciels piratés, utilisation interdite de données personnelles des clients, communication de mots de passe personnels à des tiers, communication d’informations numériques de l’entreprise à des acteurs malveillants… ;
– erreurs, insuffisances dans la réalisation des activités numériques.
Les règles relatives au numérique sont externes (légales…), contractuelles ou internes à l’entreprise. De nouvelles réglementations relatives à la protection des données numériques sont à respecter, telles que le RGPD.
Malveillance
La malveillance numérique (cyberattaques) représente probablement aujourd’hui la principale source de danger numérique pour l’entreprise. Elle est surtout externe, mais peut être interne. Elle concerne aussi les fournisseurs de services numériques (attaques dites par rebond).
Elle comporte des aspects classiques (espionnage, chantage numériques, sabotage d’ensembles matériels et logiciels…) et des aspects spécifiques au numériques : hameçonnage (phishing), usurpation d’identité numérique, utilisation frauduleuse de systèmes numériques, détournement de mots de passe, introduction de logiciels malveillants, vol de données numériques, attaques des SI (réseaux et systèmes distants - déni de service, robots…), introduction volontaire de données erronées dans les systèmes d’IA, exploitation des failles de sécurité des logiciels… Elle s’appuie parfois sur la manipulation psychologique des utilisateurs.
Les choix des caractéristiques de sécurité concernent les ensembles matériels et logiciels fabriqués, utilisés, mis à disposition par l’entreprise, internes et externes.
Les objets connectés semblent souvent mal protégés.
Certains choix (parfois nécessaires) ne sont pas spécifiques au numérique : protection contre l’incendie, groupes électrogènes, contrôles d’accès physiques…
1) Les ensembles matériels et logiciels sont à protéger contre les intrusions.
Les principales fonctions de sécurité numérique sont les antivirus, le chiffrement/déchiffrement, le contrôle d’accès logique, du fonctionnement des ensembles matériels et logiciels, des communications avec l’extérieur (pare-feux…), de conformité de la sécurisation des équipements, la gestion des événements de sécurité (alertes, attaques…), la prévention/détection des intrusions (IDS/IPS, EDR), la prévention des pertes et des fuites de données (DLP), la protection des droits numériques (DRM), contre les robots, la signature numérique.
Les contrôles d'accès aux ensembles matériels et logiciels, aux informations, permettent de réserver des accès, des fonctions à un nombre limité d’intervenants, et donc d'interdire les accès non autorisés.
Les environnements de fonctionnement des équipements sont parfois sécurisés. Les informations numériques stockées, transmises, reçues sont susceptibles d'être chiffrées. Les équipements doivent alors comporter des fonctions de chiffrement et de déchiffrement, appliquant les protocoles définis.
Les architectures de DRM (digital rights management) protègent les droits de propriété intellectuelle du constructeur, ou de ses fournisseurs, sur les œuvres enregistrées sur des supports numériques. Elles sont fondées sur le chiffrement, et sur des solutions matérielles ou logicielles pour accorder les licences, gérer le déchiffrement.
Les fonctions de type DLP (data loss et data leak prevention) permettent d'identifier les données numériques sensibles et de bloquer les transferts externes de ces données.
2) Les choix relatifs à l'identification des utilisateurs, à la prévention de leurs fautes, leurs erreurs, à la disponibilité, la fiabilité, la traçabilité numériques, contribuent à la sécurité.
La blockchain permet d’éviter les modifications frauduleuses, d'assurer une forme de traçabilité.
Les logiciels doivent, autant que faire se peut, être exempts de vulnérabilités, de failles de sécurité, offrant des possibilités aux attaquants. Ils ne doivent pas inclure de logiciels malveillants.
Les systèmes d’exploitation sont parfois le talon d’Achille des équipements, des SI.
3) Les informations numériques stockées, transmises, sont susceptibles d'être chiffrées.
Les opérateurs de télécommunications ne peuvent pas garantir totalement la confidentialité des communications. Il est souvent écrit que la sécurité du réseau Internet est très faible. Les chiffrements ne sont jamais inviolables.
4) En ce qui concerne l’architecture numérique, la connexion des équipements, des SI à des réseaux de télécommunications numériques, augmente les risques d'accès malveillant. Quand elle n’est pas obligatoire, il est parfois nécessaire de la mettre en balance avec les avantages recherchés.
Les services numériques ouverts au public sont dans certains cas liés à des SI internes de l’entreprise, à des systèmes de paiement. Des choix sont à faire sur les dispositifs de protection à mettre en place.
Des services spécialement sécurisés ou protégés, par exemple la mise à disposition de réseaux privés, de systèmes de paiement, l’exploitation d’applications dans des centres sécurisés, sont proposés sur le marché. Les contrats de services numériques ne comportent pas toujours des solutions de secours.
5) Des informations numériques confidentielles (données du client, du donneur d’ordres, logiciels, documentation…) sont communiquées aux fournisseurs de services numériques. Leurs accès sont à contrôler.
6) Les logiciels comportent parfois des fonctions de confirmation de demandes présentant des risques.
1) Les analyse des risques numériques aident à déterminer les politiques les plus efficaces pour les maîtriser. Elles sont une partie de l’analyse générale des risques de l’entreprise.
Ces activités sont difficiles. Il est néanmoins obligatoire d’effectuer une analyse minimale, de prendre des précautions de base.
2) Une administration des utilisateurs du numérique dans l’entreprise (droits d’accès, équipements détenus…) a un rôle majeur à jouer dans le domaine de la sécurité numérique.
3) Les SI mis à disposition dont l’utilisation est susceptible de présenter des dangers sont à concevoir, à réaliser, à déployer et à exploiter avec un haut niveau de fiabilité, de disponibilité.
L’entreprise a rigoureusement besoin d’un dispositif permettant de traiter les dysfonctionnements numériques graves dans des délais rapides. Ceci est particulièrement problématique dans le cas des grands logiciels anciens, toujours utilisés, pour lesquels les compétences de maintenance/évolution deviennent difficiles à trouver.
Pour les SI des clients qu’ils ont à exploiter, à utiliser, les fournisseurs donnent normalement leur avis sur leurs niveaux de sécurisation numérique.
La protection des informations, des logiciels confiés, est en général importante, voire fondamentale pour les clients. Les processus de réalisation d’activités numériques doivent être sécurisés sur ce point. Il en est de même pour les informations, les logiciels des fournisseurs accessibles aux clients.
4) Des audits de sécurité numérique sont réalisables.
Les contrôles du fonctionnement des ensembles matériels et logiciels, des informations numériques, font parfois l’objet d’obligations réglementaires, comme par exemple le contrôle du contenu publié par les utilisateurs. Certains fournisseurs de services numériques doivent éliminer les données illicites, celles obtenues illégalement.
5) Une politique RH adéquate est à définir et à mettre en œuvre dans le domaine de la sécurité numérique. Des règles, procédures de sécurité numérique sont à définir, diffuser. Leur respect est à contrôler. Des actions de sensibilisation des utilisateur internes, de contrôle managérial, sont souvent nécessaires.
Des fonctions numériques, des actions sont à prévoir pour sensibiliser les clients, les utilisateurs des services externes à la sécurité numérique.
6) Un Security Operation Center est éventuellement à mettre en place.
7) Il est souvent souhaitable d’établir à l’avance des plans de secours numériques (organisations, processus de secours, à mettre en œuvre en cas de sinistre grave (destruction des SI, cyberattaque d’ampleur…)). Cette définition est un préalable à celle des systèmes numériques de secours à mettre en place.
Les sauvegardes des données, les exercices de secours sont de nature à augmenter le niveau de sécurité numérique, y compris dans le cas du cloud. Les logiciels comportent parfois des fonctions de sauvegarde automatique des informations.
8) Lorsque les fournisseurs de services de réalisation d’activités numériques utilisent des SI qui leur appartiennent, des fonctions de sécurité, de protection sont susceptibles d’être mises en place : sécurisation des liaisons entre les SI du fournisseur et ceux du client, contrôles d’accès, séparation des informations des différents clients, des activités réalisées pour différents clients, redondances, protection contre les intrusions…
Aucun commentaire:
Enregistrer un commentaire