C’est la grande “peur” (encore !) des PME et ETI et la grande “mode” de tous les salons tech : la Cybersécurité.
Savez-vous que les méthodes de gestion des données sont des alliés puissants à la sécurité des systèmes ?
Une menace proche et lointaine
C’est à la fois proche et loin : on connait tous des victimes d’attaques pro et non pro. L’ANSSI publie un très bon guide sur le sujet
La faille la plus utilisée est le phisSing : le pirate imite un mail officiel qui vous invite a cliquer sur un lien qui copie insidieusement un virus sur votre ordinateur et qui va se propager sur votre réseau.
L’impact : les ordinateurs-serveurs infectés sont souvent rendus inutilisables.
Ces serveurs hébergent les applications qui servent vos processus et stockent vos données.
En bloquant les applications, plus de production, de ventes, de services clients.
Comment fait-on ?
La méthodologie principale utilisée est Ebios (lien).
Dans cette méthodologie, on élabore notamment un plan de continuité d’activité (PCA) prévu en amont qui permettra d’atténuer l’indisponibilité de vos systèmes :
- définition du contexte et les activités essentielles
- définition des attentes de sécurité pour maintenir ces activités
- évaluation et traitement des risques
- définition de la stratégie de continuité d’activité (en lien avec votre assureur qui est clef dans la démarche)
- déploiement, appropriation et mise en œuvre
- ceci de manière récurrente en amélioration continue
Quels apports de la data pour la cybersécurité ?
Pour vos données, même si les frameworks comme DMBOK recommandent de se reposer sur le classique Ebios, la gouvernance de données apporte des compléments :
- contexte : avoir une cartographie des données, cycle de vie, les responsables et obligations
- attentes : connaitre les finalités dont on peut se passer et celles qui sont cruciales, les données minimales requises, les niveaux de qualité et profondeurs acceptables,
- risques : évaluer la gravité, la vraisemblance et les mesures possibles de chaque risque avec un angle de vue données : chiffrement, anonymisation, cloisonnement, traçabilité, accès
- stratégie : parlant de données, elle est principalement liée à la stratégie de sauvegarde, aux mesures de protections, à la portabilité possible des données
Conclusion
La CNIL propose une démarche et un outil orienté données personnelles (PIA) qui peut également servir de trame.
Un bon plan de continuité d’activité, c’est surtout prendre en compte ses données. Contactez nous !
Nous sommes en relation avec des experts sécurité qui complètent leurs approches avec nos méthodologies data.