Des principes pour ne pas se tromper
Organisation de la SSI en entreprise - Structuration et déploiement

Lorganisation de la SSI (Sécurité des systèmes d’information) peut être vue selon plusieurs approches complémentaires. Il s’agit à la fois d’un sujet de gouvernance du risque, mais aussi d’un ensemble de mesures organisationnelles, techniques, mais aussi de moyens organisés autour d’objectifs de sécurité déployés dans une organisation.

« Organiser la sécurité des systèmes d’information est toujours un balancier entre objectifs de sécurité d’une part et expérience utilisateurs d’autre part, les deux sous contrainte de ressources, mais aussi de temps. L’une de nos difficultés est de ne pas tomber dans un tout sécuritaire qui réduirait drastiquement les performances ni de tomber dans l’autre travers conduisant à omettre la sécurité sous contrainte d’efficiences et d’efficacité uniquement financière ou commerciale. On doit en permanence osciller entre le Safety first et le business first, les deux enjeux ont leurs pratiques non négociables soit des limites de risque à ne pas franchir dans le cas de la sécurité et la nécessaire prise en compte des besoins opérationnels dans l’autre cas et c’est cela qu’il faut tenter d’organiser… », nous expliquait un responsable sécurité des systèmes d’information d’un groupe industriel interrogé en 2024.

Organiser la sécurité des systèmes d’information suppose plusieurs enjeux : définir les grandes lignes et principes à respecter dans une organisation.

On peut la voir, par exemple, sous celui de principes essentiels ; le plus important d’entre eux étant sans conteste de ne jamais oublier que la sécurité passe d’abord par les acteurs du système. Mais, énoncer des principes n’est pas suffisant, il faut aussi dire quelles conséquences il convient d’en tirer sur le plan de l’organisation : perte de réputation, dégradation de la qualité de service lié à une interruption des SI, pertes financières associées, sanctions règlementaires pour non-respect de l’article 32 du RGPD (Règlement général sur la protection des données) prévoyant la sécurisation des traitements de données personnelles, par exemple.

La SSI sous l’angle de l’articulation entre la technique et l’organisation, car les moyens techniques, ainsi que la sécurité, ne sont pas une fin en soi, mais sont au service d’objectifs de sécurité définis au regard d’un cadre de gestion des risques TIC dédié. Il revient à l’entreprise de définir ses priorités de traitement des risques TIC/numériques et de définir l’allocation des moyens de détection de prévention et de réaction sur les risques dits prioritaires. À titre illustratif face au risque d’intrusion externe, parfois appelée cyberattaque, les moyens mis en œuvre vont consister à décliner à la fois des solutions techniques et organisationnelles, mais aussi des solutions privilégiant la prise en compte du facteur humain.

Les solutions techniques peuvent être : la mise en place d’un antivirus de dernière génération (EDR), la mise en place d’un pare-feu applicatif (WAF) permettant de protéger les sites web de l’entreprise, la mise en place d’une sécurisation de l’active directory (AD). L’annuaire des identités d’entreprises doit ainsi être particulièrement sécurisé et faire l’objet d’un suivi de risque (via un scoring de risque dédié suivi très périodiquement) afin de limiter la possibilité pour des tiers d’avoir accès rapidement au bon niveau d’information leur permettant d’établir des scénarios d’attaque plus efficaces et plus ciblés.

À titre d’exemple un attaquant ayant accès aux informations de l’active directory pourra plus aisément procéder à un déplacement latéral d’une machine vers une autre en vue de procéder à une élévation de privilèges et de désactiver les sécurités de l’entreprise (antivirus notamment), ce qui lui permettra de déposer un logiciel malveillant (malware), tels que les rançongiciels, de mettre en place un tunnel de transfert de données vers l’extérieur, d’établir des portes dérobées (backdoor) permettant de se reconnecter ultérieurement au système d’information de l’entreprise.

Les solutions organisationnelles en matière de sécurité des systèmes d’information sont multiples : il peut s’agir de mettre en place un comité de gestion et de suivi des incidents TIC, de mettre en place un comité de pilotage de la sécurité des systèmes d’information, de définir un plan d’audit SSI dédié suivi en comité d’audit, de proposer et faire approuver par le Conseil d’administration un cadre de gestion du risque TIC. Ces solutions sont orientées sur la gouvernance du risque TIC.

Il existe également des solutions orientées sur les dispositifs de résilience TIC. Ces solutions orientées résilience sont plurielles :

• mettre en place un plan de continuité d’activité en cas de crises telles que des pannes informatiques majeures ou des cyberattaques ;

• définir une politique et un plan de sauvegarde de la donnée avec une fréquence de type journalière ;

• tester régulièrement le plan de reprise informatique définis (tests sur des sites de repli, reconstitution de machines virtuelles permettant aux opérateurs d’exécuter leur mission à distance ;

• augmentation de la capacité informatique suite à une panne significative et prolongée ;

• test de réplication des sauvegardes ;

• test en cas d’attaque par saturation liée à de multiples connexions -on parle alors d’attaques DDOS ou d’attaque par déni de service).

Autre exemple de solution orientée résilience, la mise en place d’un Security office Center (centre de sécurité opérationnelle) permettant d’assurer une veille H24 et 7 jours sur 7 via le recours à des analystes de sécurité intervenant sur les consoles d’administration des systèmes d’information et ayant accès à tous les comportements anormaux nécessitant la mise en place de mesures d’alerte et de plans d’action de réponse à incidents urgents [SE 3 014].

La prise en compte des risques liés au facteur humain :

• nombre de collaborateurs sensibilisés ;

• types d’usages autorisés ou non en termes de comportements d’utilisateurs, par exemple.

En synthèse la sécurité des systèmes d’information va appréhender à la fois les critères techniques, organisationnels et humains , [SE 2 505].