« Imaginez : votre site web est piraté, votre liste de clients volée, vos adresses e-mail usurpées, votre page Facebook hors contrôle… Ce n’est hélas pas de la science-fiction : deux tiers des entreprises belges ont déjà été confrontées à la cybercriminalité. » (Chèques Entreprise)
Si vous êtes convaincu que les informations représentent un « actif » important pour votre organisation, alors, il vous faudra prendre des mesures !
Les crises, les attaques, les fuites d’informations arriveront, c’est certain. Juste on ne sait pas quand.
Gérer une crise, nécessite d’être prêt ! Une gestion de crise nécessite donc une bonne préparation via la mise en place de processus et d’outils éprouvés. Des référentiels ISO, ou la réglementation RGPD offrent des opportunités de se poser les bonnes questions.
Au minimum, il vous faudra disposer des éléments pour permettre aux équipes techniques (cyber et IT) ou aux autorités, de réaliser les investigations :
- une liste des applications et des services critiques ;
- une cartographie des systèmes sur lesquels les services métiers critiques reposent et sont reliés entre eux ;
- une cartographie des périphériques, des bases de données ;
- une liste des interdépendances entre les métiers et les partenaires extérieurs (partenaires, sous-traitants, infogérant, etc.) ;
- une cartographie des parties prenantes avec les points de contact (en particulier si une partie des systèmes est en sous-traitance) ;
- une liste des moyens de supervision et de détection et leur périmètre ;
- une politique de rétention des journaux/logs applicatifs et réseaux ;
- une matrice des flux d’information ;
- les architectures des réseaux et des éléments fonctionnels, permettant de faire le lien entre les systèmes d’information et les processus métiers.
- un plan de continuité des activités, validé, et éprouvé.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information-France) a publié récemment un guide que vous pouvez télécharger sur : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf
A la BCSS, un groupe de travail a rédigé des normes minimales qui s’inspirent de standards reconnus au niveau international. Objectifs : renforcer les règles de sécurité et les moyens de contrôle, afin de garantir le niveau de sécurité général de l’ensemble des institutions de sécurité sociale. Cette approche est essentielle pour l’organisation et l’échange de données entre les institutions. C’est sur la base de ces aspects qui s’inspirent des normes ISO 27XXX que le délégué à la protection des données réalise son analyse des risques et des menaces en rapport avec les structures et systèmes informatiques qui l’entourent. La BCSS a publié ces recommandations basées sur ISO 27002 sur : https://www.bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation
E&V Partners accompagne de nombreuses entreprises et organisations publiques dans cette réflexion.
Nous essayons, via des réflexions autour de la conformité RGPD, ou autour des référentiels comme ISO 27001, de promouvoir une plus grande maturité numérique. Car notre monde se transforme et change très rapidement. La « transformation numérique » est incontournable. Mais expose les organisations à des risques nouveaux. Risques qu’il ne faut pas subir mais réduire le plus efficacement possible.
Via son système de chèques entreprise la Wallonie subventionne, à hauteur d’au moins 75%, des missions de conseil dans le domaine de la « cybersécurité » et de la « transformation numérique » !
De part son expertise, E&V Partners est labellisé sur plusieurs thématiques ; Numérique (Cybersécurité & Maturité Numérique) & Relance par le numérique (Diagnostique et Plan d’actions stratégiques). Découvrez notre profil de prestataire labellisé
Et contactez nous !