Implémenter une solution de CyberSécurité dans votre organisation est un bon début, mais elle se doit d'être en accord avec vos besoins réels.
De nos jours, de nombreuses organisations, petites ou grandes, prennent la décision d'adopter une solution liée à la sécurité informatique sur la base de présentations souvent très convaincantes de certains fabricants, parfois très peu scrupuleux. C’est ainsi qu’il m’est arrivé que des clients/prospects me signalent qu’un fabricant X est venu leur proposer un firewall qui les rendra conforme à la norme NIS2 … Quelle affabulation !
Pourtant, bien que les décisions prises par ces organisations soient généralement fondées sur le bon sens, elles ne sont pas toujours appropriées. Deux raisons principales expliquent cela :
La cybersécurité consiste à mettre en place des mesures techniques et organisationnelles pour ramener le risque à un niveau acceptable pour les décideurs. Il est donc essentiel de commencer par ce premier point, souvent négligé par la plupart des organisations. Répondre à la question « quels sont les risques acceptables ? » est une tâche complexe, et surtout directement liée au métier de l'organisation.
Par exemple, dans le cadre de la réalisation d’un audit, j’ai rencontré un département IT ayant mis en place une solution de redondance (high availability) basée sur la virtualisation, avec un SAN et des hosts. Le coût d’une telle solution était évidemment considérable. Son objectif : assurer un basculement automatique et un niveau de disponibilité très élevé de l’infrastructure.
Cependant, après questionnement, les dirigeants de cette organisation étaient prêts à accepter une indisponibilité de plusieurs jours de tout le système informatique. Par contre, pour eux, la confidentialité des informations était critique. Et là évidemment, les solutions déployées ne permettaient pas de réduire le risque au niveau souhaité, et le budget restant était insuffisant pour atteindre cet objectif.
C’est pour ces raisons que, chez MCG, nous intégrons toujours les bonnes pratiques dans nos Audits Cyber. Nous prenons systématiquement en compte les dimensions de compréhension du métier et de la perception de risque des dirigeants d’une organisation avant d’implémenter quoi que ce soit. Les recommandations qui en découlent sont ainsi adaptées au métier et permettent une priorisation adéquate par rapport aux besoins.