Structurer ses mesures de sécurité

Le plan de sécurité (PSSI) et le plan d’amélioration continue de la sécurité (PACS) ont pour objectif de définir les mesures qui permettent de sécuriser les systèmes d’information et l’organisation. Ces mesures peuvent être structurées selon quatre piliers : gouvernance, protection, défense et résilience.

Gouvernance, protection, défense, résilience : comment structurer ses mesures de sécurité ?

La mise en œuvre combinée de ces quatre piliers vous permettra de renforcer efficacement votre sécurité numérique et de déjouer habilement les cyberattaques en érodant le retour sur investissement de l’attaquant. Il convient de trouver le bon équilibre entre compétences internes et prestations de services qualifiées [lien vers page s’appuyer sur des prestations et des services qualifiés] pour bâtir ce dispositif.

La structuration des mesures de sécurité selon ce cadre est recommandée par l’ANSSI pour l’ensemble des organisations. Par ailleurs, ce cadre est obligatoire pour les opérateurs régulés par la Loi de Programmation militaire (LPM) et la (Ouvre une nouvelle fenêtre) Directive NIS.

Gouvernance

La gouvernance du risque numérique a pour objectifs d’anticiper la menace, de suivre le niveau de sécurité et de renforcer en continu un dispositif adapté. Elle s’inscrit dans une démarche continue et doit trouver sa place dans le fonctionnement habituel de l’organisation.

Elle est pilotée par un comité des risques numériques. Son objectif est de mettre en œuvre la stratégie de sécurité numérique en s’appuyant sur une connaissance actualisée de la menace cyber qui pèse sur les activités de l’organisation.

Les activités de gouvernances englobent les thématiques suivantes :

• Cadre de maîtrise du risque (stratégie de sécurité, organisation de management du risque et d’amélioration continue, cartographie des systèmes et services, processus d’intégration de la sécurité dans les projets) ;
• Maîtrise de l’écosystème (clauses de sécurité dans les contrats de sous-traitances, sécurité des processus de développement et d’acquisition) ;
• (Ouvre une nouvelle fenêtre) Veille sur les vulnérabilités et les menaces  (Ouvre une nouvelle fenêtre) ;
• Evaluation et suivi du niveau de sécurité (audits et contrôles internes, indicateurs de pilotage de la performance numérique) ;
• Gestion du facteur humain (sensibilisations, entraînements).

Protection

Les mesures ou actions de protection permettent de se prémunir contre les attaques en rendant le SI et son écosystème les moins vulnérables et exposés possibles.

Ce pilier a pour vocation à réduire une surface d’attaque et englobe notamment les thématiques suivantes :

• Sécurité de l'architecture du SI (Configuration des systèmes, Cloisonnement, Accès distant, Filtrage, Gestion des entrées/sorties de données et des supports amovibles, Sécurité des passerelles d’interconnexion) ;
• Protection  des  données  (intégrité,  confidentialité,  gestion  des  clés  cryptographiques) ;
• Sécurité de l'administration des SI (administration, supervision) ;
• Gestion des identités et des accès (Identification, Authentification, contrôle d’accès) ;
• Maintien en conditions de sécurité et gestion d’obsolescence ;
• Sécurité physique et environnementale (Sécurité vis-à-vis des signaux parasites compromettants).

Défense

La défense répond à la nécessité d’orienter la détection des incidents numériques et d’anticiper la réponse d’une organisation.

En pratique il s’agit de concevoir une capacité de supervision de la sécurité (SOC) dans laquelle  seront enrôlés les systèmes d’information. Cette capacité doit également s’intégrer avec un dispositif de CSIRT/CERT pour assurer la remédiation, ainsi que la connaissance de la menace et des vulnérabilités. Cela structure la chaine de réponse aux incidents de sécurité, de la détection à la remédiation.

L’orientation de la défense repose sur l’élaboration d’une stratégie de supervision, issue de l’analyse de risque, qui intègre les enjeux métiers en complément de la prise en compte des problématiques techniques.

Ce pilier englobe notamment les thématiques suivantes :

• Capteurs (sondes, journalisation) ;
• Détection (classification, corrélation et analyse des journaux, stratégie de supervision) ;
• Gestion des incidents (traitement des alertes, qualification, réponse aux incidents).

Résilience

Ce volet concerne la continuité d’activité avec un niveau de dégradation tolérable en cas de crise, puis la reprise nominale progressive pour minimiser les impacts stratégiques et métiers.

La bascule dans un mode de crise dépend d’effets de seuils qui sont propres à chaque organisation, selon son niveau de préparation.

Ce pilier englobe notamment les thématiques suivantes :

• Continuité  d’activité  (sauvegarde  et  restauration,  gestion  des  modes  dégradés) ;
• Gestion de crise cyber (préparation, entrainement, dispositif de crise, plans, RETEX) ;
• Reprise  d’activité.