Logo Trellix
Pourquoi Trellix ?
Plate-forme
Services
Partenaires
Ressources
À propos de
Mise en route
Victime d'une compromission ?
Support
Nous contacter
Menu principal
POURQUOI TRELLIX ?
Pourquoi Trellix ? Avantages de Trellix sur la concurrence L'atout de Trellix Platform Certifications et conformité
THREAT INTELLIGENCE
Advanced Research Center Trellix Insights Rapports sur le paysage des menaces Derniers articles de blog
Menu principal
FONCTIONNALITÉS DE LA PLATE-FORME
À propos de notre plate-forme Trellix Wise Moteur
CATÉGORIES DE PRODUITS
Sécurité des terminaux Sécurité des données Sécurité réseau Threat Intelligence Sécurité e-mail Opérations de sécurité Voir tous les produits
SOLUTIONS
Technologies opérationnelles Détection et réponse aux ransomwares Stratégie Zero Trust Opérations de sécurité et IA RSSI Secteur public
Menu principal
SERVICES PROFESSIONNELS
Trellix Thrive Services MDR (Managed Detection and Response) Services Solutions Services Trellix Guardians
ENSEIGNEMENT ET FORMATION
Services de formation Formations
Menu principal
NOTRE RÉSEAU
Présentation des partenaires Security Innovation Alliance OEM & Embedded Alliances Services assurés par les partenaires
PORTAIL PARTENAIRES
Connexion au Portail Partenaires Trellix Devenir partenaire
RECHERCHE DE PARTENAIRES
Rechercher un partenaire Trellix
PARTENAIRES STRATÉGIQUES
Amazon Web Services (AWS) Google Cloud Telefónica Tech
Menu principal
CENTRE DE RESSOURCES
Bibliothèque de ressources Témoignages de clients Sensibilisation à la sécurité
DÉVELOPPEMENT DES CONNAISSANCES
Webinars Tech Talks hebdomadaires Présentations de produits
CONNEXION
Connexion Trellix Trellix Hive Portail Développeurs Marketplace
Menu principal
ENTREPRISE
À propos de notre entreprise Équipe de direction Reconnaissance du secteur Témoignages de clients Opportunités d'emploi
MÉDIAS
Communiqués de presse Actualités Blogs Accéder à l'espace presse
CONNECTER
Événements Nous contacter

Stratégies et procédures

Définition Stratégie Propriété des stratégies Audit des stratégies Demander une démonstration

La cybersécurité représente un enjeu de taille, tant pour l'équipe IT que pour les cadres dirigeants. Mais elle doit aussi être au centre des préoccupations de tous les collaborateurs d'une entreprise, et pas simplement des professionnels de l'informatique et de la direction. Pour former les collaborateurs à l'importance de la sécurité, un moyen efficace consiste à définir une stratégie de cybersécurité expliquant les responsabilités de chacun en ce qui concerne la protection des systèmes et des données. Une stratégie de cybersécurité définit les normes de conduite à adopter pour les différentes activités, notamment le chiffrement des pièces jointes d'e-mail et les restrictions d'utilisation des réseaux sociaux.

Une stratégie de cybersécurité est d'autant plus importante que les cyberattaques et les compromissions de données peuvent coûter cher à l'entreprise. Parallèlement, il faut savoir que le personnel représente souvent le maillon faible de sa sécurité. En effet, il arrive souvent aux collaborateurs de partager des mots de passe, de cliquer sur des URL et pièces jointes malveillantes, d'utiliser des applications cloud non approuvées et d'omettre de chiffrer des fichiers sensibles.

Ces stratégies revêtent encore plus d'importance dans les entreprises publiques ou les organisations appartenant à des secteurs réglementés tels que la santé, la finance ou les assurances. Celles-ci s'exposent à des sanctions ou amendes importantes si leurs procédures de sécurité sont jugées inadéquates.

Même les petites entreprises non soumises aux réglementations officielles doivent respecter les normes minimales de sécurité informatique et peuvent être poursuivies en cas de cyberattaque entraînant la perte de données clients si l'entreprise est jugée négligente. Certains États aux USA, tels que la Californie et l'État de New York, imposent des exigences sur la sécurité des informations que les entreprises qui y exercent des activités sont tenues de respecter.

Les stratégies de cybersécurité sont également essentielles pour l'image et la crédibilité d'une organisation. Les clients, partenaires, actionnaires et employés potentiels veulent avoir l'assurance que l'organisation est capable de protéger ses données sensibles. Sans stratégie de cybersécurité, une organisation risque de ne pas être en mesure de fournir de telles preuves.

Définition d'une stratégie de cybersécurité

Les procédures de cybersécurité expliquent les règles à respecter par les employés, consultants, partenaires, membres du conseil d'administration et autres utilisateurs finaux pour accéder aux applications en ligne et aux ressources Internet, transmettre des données sur les réseaux et adopter des pratiques de sécurité responsables. En règle générale, la première partie d'une stratégie de cybersécurité décrit les attentes générales en matière de sécurité, ainsi que les rôles et les responsabilités au sein de l'entreprise. Les parties prenantes incluent les consultants externes, l'équipe informatique, le personnel financier, etc. Il s'agit de la section « rôles et responsabilités » ou « responsabilités et obligations en matière d'informations » de la stratégie.

La stratégie peut ensuite inclure des sections pour divers domaines de la cybersécurité, tels que les exigences relatives aux logiciels antivirus ou l'utilisation d'applications cloud. Le SANS Institute propose de nombreux exemples de stratégies de cybersécurité. Ces modèles de stratégie SANS couvrent l'accès à distance, la communication sans fil, la protection par mot de passe, l'e-mail et les signatures numériques.

Les entreprises appartenant à des secteurs réglementés peuvent consulter des ressources en ligne traitant d'exigences légales spécifiques, telles que la liste HIPAA Compliance Checklist publiée sur le site HIPAA Journal ou l'article de gouvernance informatique expliquant comment créer une politique conforme au RGPD.

Pour les grandes entreprises ou celles appartenant à des secteurs réglementés, une stratégie de cybersécurité comprend souvent plusieurs dizaines de pages. En revanche, pour les plus petites organisations, il se peut que la stratégie de sécurité ne contienne que quelques pages et se limite aux pratiques de sécurité de base, par exemple :

  • Règles d'utilisation du chiffrement des e-mails
  • Procédure d'accès à distance aux applications professionnelles
  • Instructions pour la création et la protection des mots de passe
  • Règles relatives à l'utilisation des réseaux sociaux

Quelle que soit la longueur de la stratégie, elle doit donner la priorité aux domaines revêtant une importance stratégique pour l'entreprise. Il peut s'agir de la protection des données les plus sensibles ou réglementées, ou des mesures de sécurité à adopter pour s'attaquer aux causes de compromissions de données antérieures. Une analyse des risques peut identifier les domaines à prioriser.

La stratégie doit également être simple et intelligible. Incluez des informations techniques dans les documents de référence, en particulier si ces informations doivent être régulièrement actualisées. Par exemple, la stratégie peut imposer aux employés de chiffrer toutes les informations d'identification personnelle. Toutefois, il n'est pas nécessaire qu'elle précise le logiciel de chiffrement à utiliser ou la procédure à suivre pour chiffrer les données.

Qui doit rédiger les stratégies de cybersécurité ?

L'équipe informatique, généralement le DSI ou le RSSI, est principalement responsable de toutes les stratégies de sécurité de l'information. Cependant, d'autres parties prenantes peuvent contribuer à l'élaboration de la stratégie, en fonction de leur expertise et de leur rôle au sein de l'entreprise. Vous trouverez ci-dessous les principales parties prenantes susceptibles de participer à la création de la stratégie, ainsi que leurs rôles :

  • Les cadres dirigeants définissent les principaux besoins de l'entreprise en matière de sécurité, ainsi que les ressources disponibles pour implémenter une stratégie de cybersécurité. La création d'une stratégie impossible à mettre en œuvre par manque de ressources représente une perte de temps pour le personnel.
  • Le service juridique veille à ce que la stratégie soit conforme aux exigences légales et aux réglementations officielles.
  • Le service RH est chargé d'expliquer et de mettre en œuvre les stratégies relatives aux employés. L'équipe RH doit veiller à ce que les employés aient lu la stratégie et peut prendre des mesures disciplinaires à l'encontre de ceux qui ne la respectent pas.
  • Le service Achats est chargé d'approuver les fournisseurs de services cloud, de gérer les contrats de services cloud et de valider les autres prestataires de services concernés. L'équipe du service Achats peut vérifier que la sécurité d'un fournisseur de cloud est conforme aux stratégies de cybersécurité de l'entreprise et contrôle l'efficacité des autres services externalisés concernés.
  • Les membres du conseil d'administration d'entreprises publiques et d'associations examinent et approuvent les stratégies dans le cadre de leurs responsabilités. Ils peuvent être plus ou moins impliqués dans la création de la stratégie selon les besoins de l'organisation.

Lorsque vous invitez des membres du personnel à participer à l'élaboration de la stratégie, déterminez ceux qui jouent un rôle essentiel dans le succès de la stratégie. Par exemple, le chef de service ou le responsable chargé de mettre en œuvre la stratégie ou de fournir les ressources nécessaires à son implémentation constitue un participant idéal.

Mise à jour et audit des procédures de cybersécurité

Les technologies ne cessent d'évoluer. Actualisez régulièrement les procédures de cybersécurité, idéalement une fois par an. Mettez en place un processus annuel d'évaluation et de mise à jour et impliquez les principales parties prenantes.

Lorsque vous évaluez une stratégie de sécurité de l'information, comparez les instructions données dans la stratégie aux pratiques réelles de l'entreprise. Un audit ou une évaluation de la stratégie peut identifier les règles devenues inadaptées aux processus de travail actuels. Un audit peut également aider à identifier les aspects de l'entreprise nécessitant une mise en œuvre plus stricte de la stratégie de cybersécurité.

L'InfoSec Institute, une société de conseil et de formation en sécurité IT, suggère les trois objectifs d'audit de stratégie suivants :

  • Comparer la stratégie de cybersécurité de l'entreprise aux pratiques réelles
  • Déterminer l'exposition de l'entreprise aux menaces internes
  • Évaluer le risque posé par les menaces de sécurité externes

Une stratégie de cybersécurité actualisée est une ressource de sécurité essentielle pour toutes les entreprises. Sans cela, les utilisateurs finaux peuvent commettre des erreurs et à être à l'origine de compromissions de données. Un manque de rigueur peut coûter cher à une organisation en termes d'amendes, frais juridiques, indemnités, perte de la confiance du public et atteinte à la réputation de la marque. La création d'une stratégie et une bonne gestion de celle-ci peuvent aider à éviter ces conséquences néfastes.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Topics