La semaine passée, nous rencontrions Jean-Yves Mathieu pour évoquer ses nouvelles fonctions ainsi que les tendances du secteur. Aujourd'hui, il partage avec les lecteurs de IT One les bonnes pratiques en matière de sécurité de l'information à mettre en place au sein de votre société.

"Pour moi, il existe un nombre assez précis de bonnes pratiques afin d’essayer de réduire les risques liés à la cyber sécurité" débute celui qui occupe désormais la fonction de Head of Information Security Department, au sein d'Aubay Luxembourg.

 

Selon Jean-Yves Mathieu, la gestion des risques cybernétiques adresse, au minimum :

Mettre en œuvre un plan de cybersécurité

• L’identification des menaces, des vulnérabilités, des risques ainsi que la quantification de l'exposition spécifique à l'entreprise ;

• La prévention et la détection d'événements de sécurité et des incidents, en réduisant leurs probabilités d'occurrence et leurs impacts potentiels,

• Le traitement des incidents de sécurité ;

• Planification du rétablissement de la continuité des opérations de stabilisation et à la suite d'un incident de sécurité.

 

Mais encore :

• Le cyber-risque est géré dans le cadre de la gestion globale des risques informatiques

N’oubliez pas que la CSSF, dans sa circulaire 11/504 concernant les fraudes et incidents dus à des attaques informatiques externes, demande à tous les établissements sous sa surveillance de lui rapporter dans les meilleurs délais toutes les fraudes et tous les incidents dus à des attaques informatiques externes et de tenir de leur propre initiative cette information à jour après la date du rapport en question. Un incident est considéré comme à rapporter à partir du moment où une attaque effective a pu aboutir (ex : tentative de détournement avérée, système informatique corrompu) et ce même si l’attaque n’a pas conduit à une fraude (ex : absence de détournement effectif de fonds). 

Il est à noter que les attaques de type « phishing » sont exclues du périmètre et ne sont donc pas à rapporter.

 

• Pour faire face au cyber-risque, les entreprises ont une stratégie documentée et validée par le Conseil d’administration. Les politiques et procédures de cyber sécurité documentées sont maintenues, surveillées, appliquées et testées, ce qui contribue à la mise en œuvre efficace de la stratégie de gestion des risques de sécurité

• Les rôles et responsabilités de la cyber sécurité sont clairement définis, documentés et communiqués au personnel concerné

• Les évaluations du risque cybernétique sont effectuées sur une base régulière et incluent l'identification des menaces externes et internes

• Des garanties solides sont en place pour se protéger contre les événements et les incidents liés à la cyber sécurité

• La mise en œuvre des contrôles sur l'accès à leurs systèmes d’informations, que ce soit de l'intérieur ou l'extérieur

• La mise en place des processus adéquats pour surveiller les systèmes d'information, les biens, détecter les incidents, les événements de sécurité en temps opportun et de préférence à l'aide d'indicateurs prédictifs.

• La mise en place d’un plan de réponse aux incidents de cyber sécurité qui fournit une feuille de route pour les mesures que prendra l'entreprise pendant et après un incident de sécurité.

 

"Pour finir, un bon RSSI doit avoir un bon réseau professionnel, des personnes en qui il a confiance et auprès de qui il peut s’adresser en cas de doute ou si sa société est ou on a fait l’objet d’un incident. Pour ceux qui ne sont pas encore membre de l’association du Collège des Professionnels de la Sécurité de l'Information (CPSI) je n’ai qu’un conseil, contactez notre board afin de devenir membre" conclut Jean-Yves Mathieu


Publié le 18 avril 2017