Les dix commandements du RSSI
Culture tech.
Sur quelles ressources s’appuyer pour assurer la sécurité du SI ?
Le métier de Responsable de la Sécurité du Système d’Information (RSSI) implique une organisation rigoureuse et une vigilance de tous les instants. Pour aider les RSSI en poste ou les futurs postulants, PRIM’X vous propose ces dix commandements et les ressources associées, pour maîtriser pleinement ce métier stratégique dans votre entreprise.
#1. Réaliser une cartographie des machines, du réseau et des accès
Un RSSI doit tout d’abord connaître précisément son système d’information. Cela suppose de cartographier l’existant dans les environnements on-premise et/ou cloud : applications, systèmes d’exploitation, serveurs, terminaux mobiles et fixes, périphériques…
Un guide d’élaboration d’une cartographie d’un SI en 5 étapes est disponible sur le site de l’ANSSI.
#2. Sauvegarder et mettre à jour
Sauvegarder une fois c’est bien, deux fois c’est mieux, trois fois c’est encore mieux. Il est nécessaire de cadencer les sauvegardes en fonction du volume d’activité. Ces sauvegardes doivent être déconnectées, conservées en lieu sûr si possible à distance, et régulièrement testées.
Patcher et mettre à jour au fil de l’eau les logiciels et systèmes permet de combler d’éventuelles failles de sécurité.
Vous pouvez parcourir le guide d’hygiène informatique de l’ANSSI qui propose 42 mesures pour renforcer la sécurité de son SI.
#3. Automatiser la détection des menaces avancées
Face à l’accroissement et à la complexité des cyberattaques, le RSSI ne peut se contenter des solutions périmétriques traditionnelles de type antivirus, pare-feu et VPN.
L’état actuel de la menace exige une dose d’automatisation afin d’analyser les flux en temps réel. Les solutions à base d’intelligence artificielle permettent d’établir des corrélations entre des événements et détecter des comportements suspects.
Le Monde informatique propose le téléchargement de son livre blanc sur le sujet.
#4. Édicter une charte utilisateurs
Pour faire appliquer des règles de bon sens, il faut commencer par les formaliser. Annexée au règlement intérieur, une charte informatique fixe le cadre d’utilisation par les collaborateurs des ressources numériques mises à leur disposition – ordinateur, messagerie électronique, accès internet… – et les sanctions éventuellement applicables en cas de manquement.
Blog du manager QSE, Qualiblog propose ce modèle de charte informatique.
#5. Passer au zéro trust
Le concept « zero trust » connaît un succès croissant. Comme son nom l’indique, il part du postulat que l’on ne peut n’accorder, par défaut, aucune confiance aux utilisateurs et aux terminaux sur la seule base de leur emplacement physique ou réseau.
Cette approche repose, entre autres, sur la définition de micro-périmètres au sein du système d’information, des zones de confiance, comme dans un aéroport.
PRIM’X propose en accès libre sur son blog un article qui donne une vision complète du concept de “zero trust”.
#6. Gérer les usages nomades
Avec la généralisation du télétravail, la collaboration à distance se banalise augmentant la surface d’exposition aux risques. À l’extérieur de la barrière protégée de l’entreprise, l’utilisateur ne doit emporter que les données qui lui seront nécessaires, de préférence chiffrées.
En cas de vol ou de perte d’un terminal, une solution de gestion de flotte de mobiles, MDM (Mobile device management), permet de le géolocaliser et, le cas échéant, de le bloquer et d’effacer ses données à distance.
Pour en apprendre davantage, vous pouvez télécharger le Passeport de conseils aux voyageurs proposé par l’ANSSI.
#7. Sensibiliser les utilisateurs
L’Homme est un maillon faible de toute politique de cybersécurité. Au-delà de rappeler les règles d’hygiène de base et forcer le renouvellement des mots de passe, il convient, à intervalles réguliers, de sensibiliser les collaborateurs à la sécurisation des données, aux modalités de partage et de conservation.
Près de cinq ans après la mise en place du RGPD, le volume de données personnelles qui font l’objet d’une fuite en interne de manière accidentelle reste particulièrement élevé. Faire vivre une politique de data privacy est donc essentiel.
Plutôt que de proposer des formations théoriques peu engageantes, il est possible de simuler des campagnes de cyber attaques ultras réalistes afin d’identifier les employés « à risque », puis leur apprendre à ne plus tomber dans les pièges tendus par les hackers.
Site du gouvernement, Cybermalveillance fournit un grand nombre de ressources pédagogiques, sur lesquelles vous appuyer pour sensibiliser vos collaborateurs.
#8. S’assurer contre les risques cyber
La souscription d’une assurance dédiée fait partie de la panoplie d’une entreprise pour se protéger du risque cyber. Face à la multiplication des cyber attaques, et tout particulièrement des ransomwares, les assureurs ont élevé leur niveau d’exigence.
Le RSSI joue un rôle clé pour obtenir la meilleure police d’assurance possible en donnant des gages en termes de mesures de protection et de gouvernance.
Ce rapport du Haut Comité Juridique de la Place financière de Paris dresse un panorama complet sur l’assurabilité des risques cyber.
#9. Se préparer au pire
Selon la formule consacrée, la question n’est plus de savoir si une entreprise va ou non subir une cyberattaque, mais quand. Toute crise s’anticipe. Le RSSI participe activement à la mise en place de continuité et de reprise d’activité (PCA/PRA). Il sera aussi, bien sûr, dans la cellule de gestion de crise le jour venu.
Le Cigref a récemment publié un rapport pour aider les organisations à réagir en cas de crise cyber massive.
#10. Chiffrer partout et tout le temps
Toutes les précautions imaginables seront un jour contournées par des groupes malveillants : la solution est alors de chiffrer les données de l’entreprise. Elles seront inutilisables s’il y a fuite malgré toutes les précautions.
Il faut disposer de son système propre, chiffrant à la volée toute communication et tout dossier, avec des clés d’accès permettant de déchiffrer connues de vous seul et des personnes à qui vous accordez le droit de comprendre le contenu.
PRIM’X vous propose en téléchargement gratuit un livre blanc qui présente les 6 clés pour mener à bien un projet de chiffrement.
Le RSSI se doit de cumuler les précautions : les dix commandements de base sont simples à mettre en place. Leur non-implémentation peut être synonyme d’une attaque qui aurait pu facilement être déjouée… Seul le chiffrement permet de prévenir un usage malveillant des données.