Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ? Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité.

L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ?

Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner :

- la confidentialité, lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée ;
- l’intégrité, quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement ;
- la disponibilité, avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?

Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement.

Je les ai examinées et j’ai également effectué quelques recherches sur le net pour savoir à quoi une bonne stratégie de sécurité doit ressembler, et voici les caractéristiques communes à toutes les stratégies de qualité :

- Objectifs : des attentes et des buts clairs.
- Conformité : les legislations fédérales et d’états peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
- Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
- Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
- Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

Questions à poser lors de la création de votre stratégie de sécurité ?

Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie.

- De quelle(s) personne(s) vous faudra-t-il l’approbation ?
- Qui sera le propriétaire de cette stratégie de sécurité ?
- Quel est le public concerné par cette stratégie ?
- Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
- Qui a besoin d’avoir accès aux données de votre entreprise ?
- Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?

- Combien de demandes d’accès aux données recevez-vous chaque semaine ?
- Comment ces demandes sont-elles satisfaites ?
- Comment et quand l’accès est-il examiné ?
- Comment pouvez-vous vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
- Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
- Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
- Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils

Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs, commente Norman Girard, Vice Président et directeur général Europe de Varonis.