Cybersécurité


Management du risque ISO 31 000 2018

La cybersécurité doit être envisagée comme un des éléments du management du risque. Une lecture de la Norme pourrait vous inciter et vous motiver à prendre en compte tous les aspects : santé, environnement, informatique, énergie, ressources .

Ne plongez pas tout de suite dans l'achat de solutions informatiques . 

Traiter en priorité le PEBKAC (problem exists between keyboard and chair) le fameux facteur humain . Le salarié licencié qui a encore les droits d'accès, le download massif en interne, une connexion LAN possible de l'extérieur, ...

Système de management de la sécurité de l'information : ISO 27 000 

C'est une mine d'informations et de réflexions mais j’avouerais que c'est un peu rébarbatif. Plus rapide, lisez le rapport annuel Cisco sur les PME et ETI. 

Ces entreprises font l'objet d'attaques récurrentes car elles sont les plus vulnérables . 

Un chiffre : 56% d'entre elles ne traitent pas leurs incidents informatiques .

Agence Nationale de la Sécurité des Systèmes d'Information

Cette Agence gouvernementale ne vend rien, est financée avec vos impôts et son site est regorge d'informations utiles et gratuites (pourquoi ne pas l'utiliser ?) .

Regardez la méthode EBIOS Risk Management . Une FMEA (AMDEC) de la cybersécurité pour hiérarchiser les couples SR/OV (source de risque/objectifs visés) .

Autres thèmes essentiels : la notion de besoin d'en connaitre (la restriction de l'accès aux informations sensibles), revoir régulièrement les processus sécurité, analyser tous les incidents, planifier des formations, vérifier la police d'assurance, la continuité de l'activité après une attaque , la gestion des identifiants et passwords, ...