Approches de la mise en œuvre de la sécurité des informations

La sécurité des informations, ou infosec, fait référence à la sécurité des données, un élément d'un plan de cybersécurité plus vaste prenant des mesures proactives pour protéger les données. Les domaines clés d'un programme infosec incluent le contrôle des personnes pouvant accéder à certaines données, le niveau d'accès accordé à chaque personne autorisée, la formation des employés et l'adaptation à vos besoins spécifiques en matière de données.

Un programme infosec est nécessaire pour toute entreprise responsable de la gestion des données personnelles ou des données clients, y compris les établissements de santé, les institutions financières, les entreprises de services publics, les gestionnaires immobiliers et les écoles. Dans certains pays et secteurs, la protection des données est légalement requise.

 

Infosec vous aide à résoudre les problèmes courants

 

Infosec vous aidera à protéger vos données contre :

  • Accès non autorisé : les violations de données constituent une préoccupation majeure dans tous les secteurs. Elles coûtent en moyenne près de 4 millions de dollars et entraînent la fermeture de 60 % des petites entreprises
  • La perte ou le vol : la sécurité des informations protège contre les sinistres inattendus, comme les événements météorologiques, les incendies et les vols, qui peuvent entraîner des pertes de données coûteuses
  • Les modifications des informations : un programme complet de sécurité des informations garantit que les données restent dans leur état d'origine et qu'elles ne sont pas modifiées accidentellement ou par malveillance

Deux approches populaires pour la mise en œuvre de la sécurité des informations sont les approches ascendante et descendante. Nous vous expliquerons la différence entre ces deux méthodes et vous fournirons des conseils utiles pour établir votre propre plan de protection des données.

 

1. L'approche ascendante

L'approche ascendante confie la responsabilité de la réussite de la sécurité des informations à un seul membre du personnel ou service de sécurité, comme un professionnel de la sécurité réseau, un ingénieur en cybersécurité ou un autre expert n'occupant pas de poste de direction de premier niveau. La principale responsabilité de cette personne au sein de votre entreprise est de protéger les données à l'échelle de l'organisation en utilisant sa formation, son expérience et son expertise.

 

Avantage de la mise en œuvre ascendante

Le principal avantage d'une approche ascendante de la sécurité des informations est que vous utilisez l'expérience et l'expertise d'une personne ou d'une équipe pour gérer des problèmes de sécurité complexes. Ces personnes disposent de toutes les formations et connaissances du secteur nécessaires pour tenir compte de la situation particulière de votre entreprise.

Dans de nombreux cas, vous pouvez attribuer la tâche à un employé disposant de l'expérience appropriée au lieu d'embaucher une nouvelle personne. Il s'agit d'un excellent moyen d'utiliser les précieuses ressources déjà à votre disposition et d'économiser le temps ou les coûts liés à la mise en place d'un plan plus vaste et plus complexe.

 

Ce qu'il faut prendre en compte

Le principal inconvénient, et la raison pour laquelle de nombreux experts du secteur recommandent d'éviter cette approche, est qu'elle n'implique ni l'assistance ni l'intervention de la direction générale. De ce fait, votre programme infosec n'aura pas la même longévité ou la même rigueur que si vous incorporiez des informations et directives issues de la direction.

Lorsque vous faites appel aux cadres supérieurs de votre entreprise, ils vous fournissent un point de vue unique sur les préoccupations, les normes, les exigences et les ressources disponibles à l'échelle de celle-ci.

 

2. L'approche descendante

L'approche descendante commence par la direction. Les responsables de niveau supérieur sont chargés de lancer, créer et mettre en œuvre votre stratégie de protection des données, y compris la création de règles, d'instructions procédurales et de plans de remontée. Ils peuvent demander une assistance extérieure, une formation ou un partenariat de travail avec un service infosec professionnel. Ils peuvent également utiliser l'expertise du personnel et les ressources de l'entreprise.

 

Avantages de la mise en œuvre descendante

Cette approche examine les données de chaque service et explore la façon dont elles sont liées pour identifier les vulnérabilités. Les responsables ont le pouvoir d'émettre des instructions à l'échelle de l'entreprise tout en permettant à chaque personne de jouer un rôle essentiel dans la protection des données. Par rapport à un individu ou à un service, une approche basée sur la direction intègre davantage de ressources disponibles et une vue d'ensemble plus claire des ressources et préoccupations de l'entreprise.

Une approche descendante a généralement plus de pouvoir et d'efficacité sur le long terme qu'une approche ascendante, car elle fait de la protection des données une priorité à l'échelle de l'entreprise au lieu de confier toutes les responsabilités à une personne ou à une équipe. Les vulnérabilités des données existent dans tous les bureaux et services, et chaque situation est unique. La seule façon de travailler pour un programme de sécurité des informations est de faire en sorte que chaque responsable, agence, service et employé soit d'accord avec un plan à l'échelle de l'entreprise.

 

Ce qu'il faut prendre en compte

Une approche descendante efficace nécessite des leaders de qualité, s'engageant à hiérarchiser la sécurité des informations. La direction ne disposant probablement pas de la formation ou de l'expérience nécessaire pour créer un plan de protection des données efficace, vous devrez consulter un expert externe.

Vous devez vous assurer que la direction dispose de suffisamment de temps et de ressources pour mettre en œuvre, surveiller et conserver de nouvelles règles lors de la création d'un programme infosec. Le meilleur type d'approche descendante commence généralement par la direction et utilise les employés du service informatique pour créer un programme complet.

 

Mise en œuvre d'une approche de sécurité des informations par couches

La cybersécurité est essentielle pour les entreprises de tous types et de toutes tailles. Dans une enquête, plus de la moitié des participants ont cité la cybersécurité comme une préoccupation majeure pour leur organisation. La compromission des données et du réseau peut avoir des effets dévastateurs dont de nombreuses entreprises ne peuvent pas récupérer complètement. En 2019, les cyberattaques ont coûté en moyenne 200 000 dollars aux entreprises.

Les attaques peuvent prendre plusieurs formes, comme l'hameçonnage, le piratage, l'accès non autorisé à des emplacements physiques, les chevaux de Troie, les ransomwares et les attaques par mot de passe. Parce qu'un grand nombre de vulnérabilités possibles existe, une approche par couches est la meilleure méthode pour mettre en œuvre une protection totale entre les services.

Les couches infosec permettent de protéger toutes les données standard ainsi que d'autres aspects de la cybersécurité, notamment la sécurité Web, réseau, des appareils, des applications, ainsi que la sécurité logicielle et physique. Cela inclut également la mise en place d'un plan de reprise après sinistre et de sauvegarde des données. La protection par couches décompose les problèmes de sécurité importants en éléments plus petits et plus faciles à gérer. Elle vous permet de personnaliser le type et le niveau de protection en fonction des besoins spécifiques, comme le service, le périphérique ou les données stockées.

Prenons l'exemple d'une entreprise de soins de santé. Au sein du service financier, l'intégrité des données est probablement la principale préoccupation pour éviter la surfacturation ou la sous- facturation des comptes. Mais le service des dossiers patients se concentre sur la sécurité des données, la confidentialité et le contrôle d'accès. C'est là qu'intervient une approche par couches. Les approches par couches sont étroitement liées, si bien que chaque domaine de la sécurité des informations s'appuie sur l'autre, créant ainsi une couverture de protection plus forte et plus défensive, rendant plus difficile l'accès des pirates externes.

 

Sécurité Web et réseau

 

Sécurité Web et réseau

La sécurité Web et réseau couvre la création de règles et la protection de tous les navigateurs, réseaux privés, réseaux partagés et comptes utilisateurs en ligne, tels que :

  • Des rôles d'utilisateur clairement attribués pour chaque personne disposant d'un accès, y compris la direction, les employés, les sous-traitants tiers et les partenaires
  • Diverses méthodes de chiffrement pour les employés et sous-traitants sur site et hors site
  • Sécurité IP à l'échelle du réseau pour l'ensemble du trafic réseau
  • Pare-feu, antivirus et anti-programmes malveillants, alertes d'intrusion et logiciel de défense
  • Désactivation des fenêtres contextuelles du navigateur Web
  • Sécurité de toutes les messageries Web, y compris les pièces jointes et les tentatives d'hameçonnage possibles
  • Utilisation d'un navigateur Web sécurisé et à jour, avec un compte d'accès individuel et contrôlé pour les employés
  • Sécurité des appareils mobiles pour les téléphones d'entreprise, les tablettes et les smartphones
  • Segmentation du réseau, le cas échéant
  • Prévention des pertes de données (DLP) pour les fichiers et les messages

 

Sécurité des appareils et des applications

La sécurité des appareils et des applications s'applique à tous les ordinateurs, tablettes, téléphones d'entreprise, smartphones, applications, logiciels utilisateur, programmes informatiques et comptes en ligne. Les précautions à prendre sont les suivantes :

  • Maintenir à jour l'ensemble des applications et logiciels, ainsi que leur sécurité
  • Utilisation de mots de passe et d'identifiants de connexion uniques pour chaque utilisateur et modifiés régulièrement
  • Mise en œuvre de fenêtres régulières de maintenance des appareils et du système durant tout le mois
  • Conservation des enregistrements complets et à jour pour toutes les activités des appareils et applications, y compris les menaces possibles, détectées ou isolées
  • Fournir à chaque utilisateur et compte de périphérique un système de détection des intrusions sur l'hôte
  • Suppression des applications, logiciels, comptes utilisateur et appareils inutiles de la rotation
  • Mise en œuvre de la gestion des correctifs pour tout maintenir à jour et corriger automatiquement les problèmes lors de la publication de nouveaux correctifs

 

Sécurité physique

La sécurité physique varie en fonction du secteur, du modèle commercial et des locaux physiques. Elle inclut des mises en œuvre à grande échelle, nécessitant par exemple des codes d'accès pour les centres de données, ainsi que de plus petites actions, comme le verrouillage de salles contenant des informations sensibles dans les petites entreprises.

 

La sécurité physique englobe toutes les tâches, des petites actions aux mises en œuvre à grande échelle

 

D'autres méthodes de sécurité physique incluent :

  • Des politiques permettant de savoir qui peut accéder à quels équipements et appareils de l'entreprise, ainsi qu'une réglementation stricte concernant leur utilisation et lieu d'utilisation
  • L'installation de systèmes d'alarme sur les portes et fenêtres, notamment pour les entreprises stockant la plupart des données sur site
  • Effectuer des tests d'antécédents et des vérifications de référence pour toutes les nouvelles recrues, les sous-traitants tiers ou les partenaires travaillant avec des informations sensibles
  • Investir dans des cartes-clés, l'identification des employés et d'autres méthodes contrôlées pour accéder aux zones sécurisées de votre entreprise

 

Sauvegarde et reprise après sinistre

La sauvegarde des données et la reprise après sinistre sont des éléments essentiels des programmes de sécurité par couches, quel que soit la taille ou le type de votre entreprise. Tous les secteurs sont exposés à des risques inattendus, comme les ouragans, les incendies, les inondations, les tornades, le vol, les catastrophes mondiales et autres incidents rendant votre emplacement physique inaccessible. Sans plan de reprise et de sauvegarde, vous risquez de perdre des données, du temps et de l'argent en cas d'interruption temporaire de votre activité.

 

Conseils pour la sauvegarde et la reprise après sinistre

 

Voici quelques conseils pour la sauvegarde et la reprise après sinistre :

 

Choisir la sauvegarde automatique

Toutes les méthodes de sauvegarde ne peuvent pas fonctionner automatiquement. Par exemple, les données doivent parfois être sauvegardées manuellement sur un périphérique physique. La planification automatique des sauvegardes des appareils et systèmes concernés vous permet d'éviter d'oublier ou de dupliquer le processus. La fréquence d'enregistrement de vos données, généralement quotidienne, hebdomadaire ou mensuelle, dépend des besoins de votre organisation.

 

Enregistrer les données à plusieurs emplacements

À terme, votre contenu est plus en sécurité dans le cloud. Le fait de disposer de vos données critiques dans le Content Cloud allège la charge physique et géographique du stockage des données sur site et transfère la responsabilité au fournisseur. Pour les données sur site, adoptez une approche par couches de la sécurité des informations. Évitez de stocker toutes les données de votre entreprise ou de votre service au même endroit, surtout s'il s'agit d'un emplacement physique. Certaines entreprises résolvent ce problème en répliquant et en répartissant les données sur différents serveurs, périphériques de stockage et en utilisant une combinaison de méthodes sur site et hors site : une approche hybride. D'autres entreprises utilisent des options comme les bandes de stockage magnétiques, les réseaux locaux (LAN) et les lecteurs USB pour protéger les données sur site.

 

Améliorer la protection du stockage sur site

Tout stockage sur site sur lequel vous comptez doit être protégé dans un endroit sécurisé et protégé contre l'accès non autorisé. Si nécessaire, vous pouvez mettre en œuvre des verrouillages, des alarmes et une surveillance continue. Vous pouvez également investir dans des réceptacles de stockage ignifugés ou résistants à l'eau pour les lecteurs et fichiers portables, en particulier si vous vivez dans une zone sujette aux incendies ou aux ouragans.

 

Disposer d'un plan d'accèrs

Les entreprises deviennent inaccessibles pour diverses raisons, et aucun secteur n'est exempté du risque de catastrophe naturelle, de pandémie ou d'accidents graves susceptibles d'interrompre les activités pendant une journée ou plus. Dans ce cas, vous aurez besoin d'un plan d'action établi pour accéder aux données sur site et poursuivre vos activités quotidiennes afin d'éviter des retards coûteux. Assurez-vous que tous les employés sont formés et connaissent leur rôle dans de telles situations et investissez dans des équipements à distance pour les activités réparties, si nécessaire.

Bien qu'il soit impossible de planifier toutes les éventualités, quelques mesures proactives peuvent faire la différence.

 

L'approche par couches nécessite une collaboration

La négligence des employés et les fournisseurs tiers constituent le principal risque de cybersécurité pour les entreprises. Pour être efficaces, tous les programmes de cybersécurité et infosec doivent inclure une collaboration continue et un engagement actif des employés. La sécurisation des données est un effort à l'échelle de l'entreprise, et chaque employé a un rôle important à jouer.

Encouragez la collaboration entre employés, la direction et votre équipe informatique grâce à un plan de réponse aux incidents clair et prédéfini, comprenant les éléments suivants.

 

Éléments clés d'un plan d'intervention en cas d'incident

 

Détection rapide des menaces

Tous les employés doivent comprendre comment reconnaître les signes de menace au niveau des programmes, des appareils et des comptes. Plus une menace est détectée rapidement, plus vite votre équipe informatique peut l'analyser, l'identifier, l'isoler et la combattre. Les signes fréquents que vos employés doivent surveiller incluent les escroqueries par e-mails suspects contenant des pièces jointes ou des liens, les tentatives d'accès non autorisé sur des sites professionnels, les fenêtres contextuelles et le ralentissement des performances des appareils.

 

Plan de remontée

Une fois qu'un collaborateur a identifié un risque, il a besoin d'une procédure de remontée claire à suivre. Doit-il signaler l'incident à son responsable direct ou soumettre une notification d'urgence ou un ticket d'assistance à votre service informatique ? Quelles informations doit -il inclure à propos de l'incident, par exemple des captures d'écran, l'heure et la date, ainsi que les informations de connexion au compte ? Inclure des plans de remontée dans toutes les formations des nouveaux employés.

 

Protocole de suivi

Mettez en œuvre des exigences de mot de passe régulières et des mises à jour de mot de passe de routine pour chaque titulaire de compte. Intégrez les commentaires des employés et les rapports d'incident pour compiler des plans de protection des données encore plus solides à l'avenir. Gérez avec soin les employés se livrant à des comportements de sécurité risqués et introduisez une formation supplémentaire si nécessaire.

 

Comment mettre en œuvre des programmes de sécurité des informations

Voici cinq étapes utiles pour mettre en œuvre un nouveau programme de cybersécurité afin de protéger vos données.

 

Suivez ces 5 étapes pour protéger vos données

 

1. Évaluer votre situation actuelle

Réfléchissez aux questions suivantes :

  • De quelles ressources financières, d'expertise informatique, de matériel de stockage, de compte cloud ou autres votre équipe dispose-t-elle actuellement ?
  • De quoi votre système est-il actuellement capable en termes de stockage, de sauvegarde et de sécurité ?
  • Quels sont vos principaux risques en matière de sécurité ?
  • Quelles sont vos vulnérabilités et responsabilités actuelles, et que pouvez-vous améliorer ?

Si vous ne savez pas comment répondre à ces questions ou si vous ne disposez pas des informations nécessaires, envisagez de planifier un audit de sécurité professionnel pour identifier les points faibles.

 

2. Définir des buts et objectifs

 

Buts et objectif

 

Où souhaitez-vous que le programme de sécurité des informations de votre entreprise se situe dans un mois ? Et dans un ou cinq ans ? Certains processus, comme la modification des mots de passe, l'investissement dans de meilleurs programmes antivirus et la sécurisation d'options de sauvegarde de données supplémentaires, sont instantanés. D'autres parties de votre programme infosec, comme l'obtention de pourcentages spécifiques d'attaques bloquées ou le déplacement de grandes quantités de données vers de nouveaux systèmes, prendront beaucoup plus de temps.

Créez une liste d'objectifs de sécurité des informations à court et long terme, et divisez-les en tâches plus petites que vous pouvez attribuer aux personnes, à la direction et aux services. Vous devrez également créer une méthode pour mesurer la réussite de ces objectifs en établissant des critères de référence, par exemple une diminution du nombre de menaces signalées chaque mois ou l'obtention d'une certification de sécurité spécifique.

 

3. Identifier les besoins et élaborer un plan

Une fois que vous savez quelle est votre situation et où vous souhaitez que votre entreprise se situe à l'avenir, il est temps de mettre en place un plan. Travaillez avec d'autres membres de votre équipe et des experts externes pour évaluer ce dont vous avez besoin pour mener à bien votre programme de sécurité des informations et les coûts approximatifs, comme :

  • Le matériel de stockage physique
  • Les plates-formes de gestion de contenu dans le cloud
  • L'utilisation hors site du site de stockage
  • Des consultations professionnelles et des formations externes dispensées par des experts en informatique
  • Les frais supplémentaires de formation du personnel
  • De nouveaux logiciels de sécurité ou abonnements
  • Les mises à niveau du matériel et des comptes
  • La surveillance et la maintenance continues
  • L'équipement pour une main-d'œuvre distribuée ou un accès de sauvegarde

Les personnes, services et professionnels externes que vous impliquez dans ce programme dépendent de l'approche de sécurité que vous avez choisie. En règle générale, vous devez inclure au moins des membres de votre équipe informatique existante, une agence d'audit extérieure et tous les employés concernés.

 

4. Travailler à la conformité avec la certification facultative

Envisagez de vous conformer à un programme de certification facultatif, comme les normes ISO/IEC 27001. Ces normes ne sont pas obligatoires dans la plupart des secteurs, mais elles fournissent un cadre pour une sécurité optimale des informations afin de servir de norme pour votre programme infosec.

Bien que la norme ISO 27001 ne soit pas le seul type de certification de conformité, elle inclut des conseils utiles sur des sujets comme :

  • Les directives et la portée de l'audit
  • Les types d'attaques
  • Les définitions du secteur
  • Les évaluations des risques et les méthodes de traitement
  • Les politiques de contrôle d'accès
  • La sécurité des communications et des opérations
  • Les directives relatives aux relations avec les fournisseurs
  • La sécurité des ressources humaines
  • L'inventaire, l'utilisation acceptable et la gestion des ressources
  • Les procédures de gestion des incidents

 

5. Mettre en œuvre une surveillance, une maintenance et des mises à jour continues

 

La sécurité des informations et la cybersécurité par couches doivent être considérées comme une composante vivante et évolutive de votre entreprise

 

Infosec et les programmes de cybersécurité par couches ne sont pas figés. Ils doivent être considérés comme une composante vivante et évolutive de votre entreprise. Mettre en œuvre une formation continue des employés pour faire face aux nouvelles menaces de sécurité ou aux nouvelles mesures préventives. Surveiller tous les statuts et réussites d'infosec et effectuer les investissements et ajustements de protocole si nécessaire. Tenir les programmes de cybersécurité à jour en fonction des changements technologiques et de personnel.

Vous devez également procéder régulièrement à des évaluations de vulnérabilité afin d'identifier les nouveaux points faibles potentiels et de tester l'efficacité des mesures de sécurité. Les audits internes annuels sont une excellente option pour que tout le monde puisse travailler sur la même longueur d'onde.

 

En savoir plus sur le Content Cloud et notre approche de la sécurité

À mesure que les menaces deviennent de plus en plus sophistiquées, la mise en œuvre d'un système de sécurité des informations complet et efficace est plus cruciale que jamais. Box est là pour simplifier le cycle de vie de votre contenu et améliorer vos opérations quotidiennes tout en offrant une sécurité et une conformité de pointe pour vos données.

Notre approche de la sécurité dans le Content Cloud implique les éléments suivants :

  • Visibilité et contrôle complets : les contrôles, autorisations et pistes d'audit intégrés vous permettent de disposer des connaissances nécessaires pour prendre des décisions plus éclairées
  • Authentification renforcée des utilisateurs : sachez qui accède à vos données et empêchez toute entrée non autorisée grâce à un chiffrement de fichiers supplémentaire et à une technologie d'apprentissage automatique
  • Box Shield : utilisez l'apprentissage automatique pour détecter les menaces et envoyer des alertes lorsque les comptes présentent un risque d'attaque ou de compromission
  • Box KeySafe : bénéficiez d'un contrôle total sur vos propres clés de chiffrement sans interférer avec l'expérience utilisateur
  • Conformité simplifiée : Box est là pour faciliter la gouvernance et la conformité, afin que vous puissiez respecter les normes du secteur, éviter les amendes et mettre en œuvre tous les protocoles de confidentialité requis, notamment les exigences en matière de résidence des données, les normes internationales et les conseils spécifiques au secteur
  • Box Trust : découvrez notre approche de la sécurité et de la conformité et consultez la liste de toutes nos certifications de sécurité et de conformité

Découvrez ce que Box peut faire pour vous et vos objectifs de sécurité et de productivité des informations, et demandez votre version d'évaluation gratuite dès aujourd'hui !

**Tandis que nous maintenons notre engagement inébranlable de proposer des produits et des services avec la meilleure protection de la vie privée, de la sécurité et de la conformité, les informations fournies dans cet article de blog ne constituent en aucun cas un conseil juridique. Nous encourageons vivement nos clients actuels et potentiels à faire preuve de diligence raisonnable lorsqu'ils évaluent la conformité aux lois applicables.

 

En savoir plus sur le Content Cloud et notre approche de la sécurité

Demandez votre essai gratuit
Icon Trending 20x20px
Trending topics