Intelligence économique et sécurité

L’espionnage industriel

Dans un article du journal USA Today, il est écrit :

« … Avec la croissance de l'économie globale et la demande incessante de nouvelles technologies, les experts affirment que le nombre de cas d'espionnage économiques aux Etats Unis augmente tous les ans (30% l’an dernier).

… Le vol de secrets commerciaux a coûté 59 milliards de dollars environ aux 1.000 premières compagnies américaines en 2001, selon une enquête de l'automne 2002 réalisée par l’American Society for Industrial Security et PricewaterhouseCoopers ….

… Les gouvernements et les services d'intelligence en France, en Israël et les pays de l’Est ont une longue histoire d’espionnage industriel aux Etats-Unis, disent les experts américains …». A contrario en France, le sujet est rarement évoqué. Les espions ne parleraient t’ils pas la langue de Montaigne ? Si, évidemment, mais les entreprises qui découvrent qu’elles ont été piratées le taisent. L'espionnage industriel coûterait d’après la DST au moins 1,5 milliards d’Euros chaque année aux entreprises françaises "insouciantes".

Lire la suite : Intelligence économique et sécurité

Le Rôle du RSSI

Le Responsable de la Sécurité des Systèmes d’Information : organisateur ou technicien ?

Si le poste de RSSI, Responsable de la Sécurité des Systèmes d’Information, était initialement vu comme une fonction essentiellement technique, la raison en incombait à la nature des risques pesant sur les systèmes d’information.

Tant que l’architecture des SI était basé sur des architectures majoritairement propriétaires et des applications maisons, on attendait du RSSI qu’il connaisse les mécanismes de sécurité à mettre en œuvre, qu’il en vérifie régulièrement la bonne application (par exemple en effectuant des audits Mehari chaque année) et aussi qu’il traite des problématiques de continuité d’activité.

Lire la suite : Le Rôle du RSSI

Politique de Sécurité de l'Information

Qu'est ce qu'une Politique de Sécurité de l’Information ?

Chaque entreprise ou organisme doit se doter d'une politique de sécurité de l'information afin de protéger ses biens. Il s'agit également d'une question de crédibilité face à ses clients, fournisseurs et actionnaires.

En obligeant les employés à respecter des procédures de sécurité, l'entreprise dicte une ligne de conduite en matière de sécurité de l'information.

 

Il existe des règles de base à suivre pour mettre en place une politique de sécurité :

  • obtenir un appui clair de la Direction Générale par un document, signé par le PDG, DG ou Président, qui indiquera aux employés les intentions de l'entreprise en terme de sécurité de l'information et les moyens mis en oeuvre;
  • solliciter la participation des différents niveaux hiérarchiques de l'entreprise : il sera plus facile de faire accepter des procédures par les employés si leur management les ont approuvées et les appliquent; Chaîne de sécurité
  • communiquer le bien-fondé des procédures de sécurité et les avantages pour l'entreprise en utilisant un langage orienté métier;
  • implanter les nouvelles procédures de façon progressive : il ne faut pas oublier que les employés ont d'autres missions à accomplir et que ces procédures peuvent leur imposer des contraintes;
  • ne pas imposer brutalement les nouvelles procédures, du moins pas dans un premier temps : il s'agit avant tout d'une culture à développer et la persuasion est préférable à la coercition;
  • tenir compte des besoins réels de l'entreprise : mettre en place des procédures réalistes en fonction du niveau de risque vis à vis des actifs de l'entreprise;

 

Pourquoi il est important d’établir une Politique de Sécurité ?

Formuler une politique de sécurité de l'information, c'est faire partager à l'ensemble de l’entreprise ou de l’organisme des principes d'organisation et de comportement.

En cela ceci est très semblable à la définition d’une politique de qualité.

Dans le cas d’une entreprise ayant des entités différentes, l'objectif n'est pas d'imposer à l'ensemble d'un groupe un système unique et monolithique mais plutôt de partager un ensemble de principes de pilotage, de bonne pratiques et de contrôles qui découlent de la Politique de Sécurité de l'Information.

Ceci permet d'homogénéiser la culture d’une entreprise dans le domaine de la sécurité de l'information, de garantir la cohérence des actions en dépit :

  • des différences de culture et d'environnement existantes entre entités, filiales et pays
  • de tailles d'entités différentes et donc de moyens humains et financiers différents
  • de leur maturité vis à vis du domaine

Former, sensibiliser et contrôler

Une fois la politique écrite et diffusée à tous les employés, un programme de sensibilisation à la sécurité doit donc être mis sur pied à l'intention de tout le personnel et non seulement des personnes affectées à la technologie de l'information.

L'entreprise doit par la suite s'assurer que sa politique est respectée par la mise en place de contrôles et d'un suivi.

Sécurité dans les projets de développement informatique

Pourquoi intégrer la dimension sécurité informatique dans les projets de développement ?

Quand une société réalise une classification de ses actifs principaux (données, applications), il apparait qu'il existe des applications qui :

  • ont des besoins de disponibilités fortes ou des contraintes de performances 
  • manipulent des données sensibles en confidentialité et/ou en intégrité
  • doivent respecter des exigences en termes de traçabilité, archivage, ...

Lire la suite : Sécurité dans les projets de développement informatique

Les données de la sécurité de l'information

Bien comprendre les enjeux de la sécurité de l’information, c’est aussi comprendre quelques données clefs.

En 2140, 80% des entreprises françaises (de plus de 200 personnes) estiment avoir une dépendance forte vis à vis de leur système d’information, et 3/4 considèrent qu'une indisponibilité de 24h et moins de leur Système d'information serait lourde de conséquences.

Pourtant l''édition 2014 du Clusif sur les Pratiques de sécurité en France montrent que :

  • 2/3 des entreprises ne disposent pas de tableau de bord sur la sécurité (alors qu'à 75% elles ont mis en place une politique de sécurité de l’information, autant dire que beaucoup de ces politiques sont théoriques)
  • 2/3 des entreprise indiquent disposer d'un Plan de Continuité d'Activité mais seulement 28% de ces entreprises l'on fait sur la base d'une analyse métier des RTO/RPO (ce qui indique que les entreprises confondent souvent continuité d'activité et haute disponibilité) .
  • enfin seulement 38% des entreprises réalisent des analyses de risques (chiffre qui semble en plus fort discutable, quand on voit qu'un tiers de ces entreprises disent utiliser ISO 27005 comme méthode de gestion des risques ...)

Bref comme il est indiqué en synthèse de l'étude du Clusif : le travail continue ... laborieusement.

D'après le Gartner,  l'Europe en 2014 est le continent où les entreprises consacrent la part la plus faible de leur budget à la sécurité, 4,3%, contre 5,5% par exemple aux Etats-Unis.

Lire la suite : Les données de la sécurité de l'information


Copyright Ysosecure © 2002 - 2019