CYBERSÉCURITÉ

CYBERSÉCURITÉ :

MÉTHODES EFFICACES DE LUTTE CONTRE LES ATTEINTES À LA PROTECTION DES DONNÉES

Les atteintes à la protection des données constituent un problème de plus en plus important pour les entreprises. Ils peuvent causer des dommages financiers et à la réputation dont il sera impossible pour certaines entreprises de se remettre. Quelles méthodes sont disponibles à l’heure actuelle pour aider les organisations à protéger leurs données?

LIRE LA SUITE

Nous vivons à l’ère numérique. Les données constituent désormais un bien précieux, car les entreprises détiennent de grandes quantités d’informations sur leurs clients, fournisseurs et employés. Ils ont le devoir de protéger ces informations et pourtant, une enquête menée en 2018 auprès de dirigeants informatiques a révélé que la plupart des organisations n’étaient que « plus ou moins prêtes » à faire face aux cybermenaces. Au cours d’une période de douze mois, on estime que 77 % des entreprises seront touchées par une atteinte à la protection des données, ce qui coûtera à l’industrie plus de 1 000 milliards de dollars US.

Les cyberattaques malveillantes ne sont que l’un des moyens par lesquels les données stockées par une entreprise peuvent être accédées de manière illégale ou sans autorisation. Sans mesures de cybersécurité adéquates, les systèmes peuvent être menacés par le comportement des employés, les appareils mobiles non sécurisés, les applications de stockage infonuagique et les fournisseurs de services tiers. Les atteintes à la protection des données se présentent sous de nombreuses formes – rançongiciels, maliciels, hameçonnage, et les attaques par déni de services – mais leur introduction dans le système d’une entreprise peut être aussi simple qu’un employé qui clique distraitement sur un lien dans un pourriel.

QUI EST CONCERNÉ?

La réponse simple à cette question est tout le monde. On estime que sept millions d’enregistrements de données sont compromis chaque jour. En moyenne, un seul cas d’atteinte à la protection des données affectera 25 000 d’enregistrements avec un coût moyen de 3,26 millions de dollars US. Une étude d’IBM a démontré que le pays et l’industrie où une atteinte à la protection des données coûte le plus cher sont les États-Unis et les soins de santé respectivement. Au total, les États-Unis arrivent au premier rang en termes d’atteintes à la protection des données et de vols d’identité, suivis par la Corée du Sud pour les atteintes à la protection des données et la France pour les vols d’identité. Toutefois, ces chiffres doivent être pondérés en fonction du nombre d’habitants, selon lequel les Pays-Bas et la Suède sont disproportionnés en matière de cas d’atteintes à la protection des données. De toute évidence, il y a des attaques concertées et ciblées contre des entreprises individuelles, mais ce qui ressort clairement de l’analyse des statistiques, c’est qu’une mauvaise gestion de la cybersécurité, et les atteintes à la protection des données qui en résultent, affectent toutes sortes d’entreprises, de toutes tailles, et dans tous les pays du monde.

Les victimes et les systèmes ciblés peuvent, à première vue, sembler aléatoires. Des recherches menées à la suite d’une importante atteinte à la protection des données aux États-Unis ont révélé que les pirates informatiques pouvaient facilement contrôler au moins 55 000 systèmes de chauffage, de ventilation et de climatisation connectés à Internet (CVC). La faiblesse des mesures de cybersécurité entourant les systèmes de CVC peut être utilisée pour accéder à d’autres réseaux, par l’accès au système principal de l’entreprise. On croit que cette pratique a servi à voler des données de 40 millions de cartes de crédit et de débit aux États-Unis. Les pirates avaient déjà accès au système de CVC en volant les identifiants de connexion nécessaires au fournisseur de services tiers du système de CVC du détaillant. Pour plusieurs, il est difficile d’établir un lien entre le système de CVC et les dossiers financiers – c’est peut-être le moyen idéal pour un pirate informatique de procéder à un vol de données.

Il est évident qu’aucune industrie n’est à l’abri de ces coûteuses atteintes à la protection des données. Le domaine manufacturier, l’éducation, le commerce de détail, le secteur public, l’hôtellerie et les finances signalent régulièrement des atteintes à la protection des données, mais le secteur le plus touché est celui des soins de santé. On estime qu’un citoyen américain sur huit verra ses informations médicales exposées à un certain moment donné, la principale motivation étant le gain financier. La majorité de ces menaces, c’est-à-dire 56 %, sont internes, l’erreur humaine étant la principale cause de la fuite.

PRÉVENTION – ISO/IEC 27001

Avec plus d’une douzaine de normes, la famille de normes ISO/IEC 27001 fournit un cadre adaptable aux entreprises qui cherchent à gérer la sécurité de leurs actifs, notamment les informations financières, la propriété intellectuelle, les renseignements sur les employés et toute autre information confiée à l’entreprise par des tiers.

La norme est livrée en deux parties :

  • ISO/IEC 27001:2013 (Partie 2) – spécification formelle de norme pour un système de gestion de la sécurité de l’information (SGSI), par rapport à laquelle une organisation cherchant à être certifiée fera l’objet d’un audit. Elle contient les exigences obligatoires qu’une organisation doit respecter pour la certification. Les contrôles pertinents pour l’organisation sont déterminés à la suite d’une évaluation complète des risques.
  • ISO/IEC 27002:2013 – bonnes pratiques pour obtenir de l’information et des actifs connexes

Ces normes adhèrent à la structure du modèle de processus de l’Annexe SL, ce qui contribue à renforcer le fait que, pour toutes les entreprises, la gestion de la sécurité de l’information est un processus continu, et cela permet d’harmoniser les normes avec d’autres normes ISO également.

Il existe un processus de certification en six étapes pour la norme ISO/IEC 27001 – proposition sur mesure, préaudit, audit formel des étapes 1 et 2, visites de surveillance pour vérifier le système, recertification. La certification démontre que l’organisation est conforme aux exigences concernant la sauvegarde et la récupération des enregistrements, la conservation sécurisée des données d’essai, la gestion des incidents de sécurité, la protection des outils d’audit du système, la réputation/formation/indépendance des auditeurs internes et leur accès à la haute direction et à la documentation sur les procédures de sécurité.

PRÉVENTION – ISO/IEC 20000

Cette norme favorise la mise en place d’un système coordonné et intégré de gestion des services de technologie de l’information. Elle améliore les systèmes et les organisations en mettant en évidence les possibilités et en favorisant des améliorations continues et une plus grande efficacité au sein de ce système. Pour ce faire, il permet de mieux harmoniser le personnel et les procédures.

Comme pour la norme ISO/IEC 27001, cette norme se décline en deux parties principales :

  • ISO 20000-1 – définit les exigences par rapport auxquelles l’organisation sera évaluée relativement à la fourniture de services gérés d’une qualité acceptable pour les parties prenantes
  • ISO 20000-2 – un code de pratique qui décrit les meilleures pratiques pour les processus de gestion des services dans le cadre de la norme ISO 20000-1

L’adoption des normes ISO/IEC 27001 et ISO/IEC 20000 ne rendra pas seulement les systèmes de sécurité informatique d’une entreprise plus robustes. Cette approche montrera également aux employés, aux clients et aux autres parties prenantes que votre organisation prend la gestion des services informatiques au sérieux. Dans le cadre de l’ensemble des processus de gestion des services, on fait spécifiquement allusion à la sécurité de l’information, qui est à son tour rendue encore plus efficace par la norme. Les autres avantages de la certification ISO 20000 comprennent, entre autres, un moyen efficace de fournir des services gérés, de mesurer les niveaux de service et d’évaluer leurs performances, avec un lien étroit avec l’ITIL également. Vous assurerez aux clients que leurs exigences en matière de services sont satisfaites, notamment en ce qui concerne la sécurité de l’information. Dans un monde numérique, les réputations peuvent être gagnées ou perdues selon le sérieux avec lequel une entreprise aborde la sécurité des informations qu’elle détient.

SOLUTION DE SGS

SGS montre l’exemple en aidant les organisations à améliorer leur cybersécurité. Grâce aux données d’audit ciblées de 604 entreprises, couvrant une période de six ans, nous comprenons où les non-conformités majeures et mineures existent le plus souvent au sein d’une entreprise.

En plus des services de certification et d’audit, nous proposons également une série de cours de formation pour aider les organisations à comprendre et à mettre en œuvre les normes ISO/IEC 27001 et ISO/IEC 20000 :

POUR PLUS D’INFORMATIONS, VEUILLEZ NOUS CONTACTER.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up