De l’importance d’une évaluation sécurité préalable

Baser ses décisions sur des présentations vendeuses est contre-productif

De nos jours, de nombreuses organisations, petites ou grandes, prennent la décision d'adopter une solution liée à la sécurité informatique sur la base de présentations souvent très convaincantes de certains fabricants, parfois très peu scrupuleux. C’est ainsi qu’il m’est arrivé que des clients/prospects me signalent qu’un fabricant X est venu leur proposer un firewall qui les rendra conforme à la norme NIS2 … Quelle affabulation !

Pourtant, bien que les décisions prises par ces organisations soient généralement fondées sur le bon sens, elles ne sont pas toujours appropriées. Deux raisons principales expliquent cela :

• La/les solutions déployées ne sont pas en phase avec le métier ET les risques acceptables par le management de l’organisation.
• La/les solutions déployées ne sont souvent pas une priorité.

La nécessité de s’aligner sur les besoins du métier

La cybersécurité consiste à mettre en place des mesures techniques et organisationnelles pour ramener le risque à un niveau acceptable pour les décideurs. Il est donc essentiel de commencer par ce premier point, souvent négligé par la plupart des organisations. Répondre à la question « quels sont les risques acceptables ? » est une tâche complexe, et surtout directement liée au métier de l'organisation.

Par exemple, dans le cadre de la réalisation d’un audit, j’ai rencontré un département IT ayant mis en place une solution de redondance (high availability) basée sur la virtualisation, avec un SAN et des hosts. Le coût d’une telle solution était évidemment considérable. Son objectif : assurer un basculement automatique et un niveau de disponibilité très élevé de l’infrastructure.

Cependant, après questionnement, les dirigeants de cette organisation étaient prêts à accepter une indisponibilité de plusieurs jours de tout le système informatique. Par contre, pour eux, la confidentialité des informations était critique. Et là évidemment, les solutions déployées ne permettaient pas de réduire le risque au niveau souhaité, et le budget restant était insuffisant pour atteindre cet objectif.

Intégration des bonnes pratiques chez MCG

C’est pour ces raisons que, chez MCG, nous intégrons toujours les bonnes pratiques dans nos Audits Cyber. Nous prenons systématiquement en compte les dimensions de compréhension du métier et de la perception de risque des dirigeants d’une organisation avant d’implémenter quoi que ce soit. Les recommandations qui en découlent sont ainsi adaptées au métier et permettent une priorisation adéquate par rapport aux besoins.