\n
\n
\n
\n Aujourd’hui, garantir la s\u00e9curit\u00e9 informatique et la bonne gouvernance des renseignements d’une entreprise est devenu un effort collectif o\u00f9 tous ses partenaires et fournisseurs doivent s’impliquer activement pour contrer les cybermenaces et les incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 et \u00e0 la confidentialit\u00e9.<\/span>\n <\/p>\n<\/p>\n \n \n \n Quelle strat\u00e9gie adopter pour les fournisseurs tiers d\u2019outils et services?<\/strong>\n <\/p>\n<\/p>\n \n \n \n Dans un environnement o\u00f9 les fronti\u00e8res num\u00e9riques deviennent floues entre les diff\u00e9rents acteurs \u00e9conomiques, les donn\u00e9es et renseignements circulent quotidiennement, et les collaborations avec des tiers se multiplient sans toujours se soucier des diff\u00e9rentes conventions. Dans ce contexte, le p\u00e9rim\u00e8tre de protection d’une entreprise ne doit plus \u00eatre per\u00e7u comme une entit\u00e9 solide et immobile, mais plut\u00f4t comme un flux dynamique s’\u00e9tendant dans plusieurs directions.<\/span>\n <\/p>\n<\/p>\n \n \n \n Assurer la s\u00e9curit\u00e9 physique et num\u00e9rique en constante \u00e9volution, sur laquelle reposent les donn\u00e9es et services de l’entreprise, constitue le principal d\u00e9fi pour les Responsables de la s\u00e9curit\u00e9 des Syst\u00e8mes d’Information des entreprises dites \u00e9tendues et les responsables de la protection des renseignements personnels et leur \u00e9quipe de gouvernance.<\/span>\n <\/p>\n<\/p>\n \n \n \n La digitalisation et l’externalisation de certains ou de tous les moyens de production, canaux de vente et autres structures organisationnelles ont radicalement transform\u00e9 le profil informatique des entreprises. Celui-ci est pass\u00e9 d’un bloc monolithique \u00e0 un patchwork IT, compos\u00e9 de syst\u00e8mes locaux, d’une vari\u00e9t\u00e9 d’environnements Cloud, de syst\u00e8mes partag\u00e9s et d’applications tierces avec certaines conventions technologiques qui n\u2019ont pas suivi la parade. Ainsi, les processus cl\u00e9s de l’entreprise reposent sur des environnements plus ou moins contr\u00f4l\u00e9s par celle-ci.<\/span>\n <\/p>\n<\/p>\n \n \n \n Chaque entreprise doit int\u00e9grer son \u00e9cosyst\u00e8me num\u00e9rique dans sa strat\u00e9gie de protection, en consid\u00e9rant chaque tiers en fonction de son importance dans la cha\u00eene de valeur. Voici une approche en trois \u00e9tapes.<\/span>\n <\/p>\n<\/p>\n \n \n \n 1. Identifier ses activit\u00e9s cl\u00e9s et les donn\u00e9es et renseignements associ\u00e9es.<\/strong>\n <\/p>\n<\/p>\n \n \n 2. Recenser les tiers et intervenants impliqu\u00e9s dans ces activit\u00e9s cl\u00e9s ou ayant acc\u00e8s \u00e0 ces donn\u00e9es et renseignements sensibles.<\/strong>\n <\/p>\n<\/p>\n \n \n 3. \u00c9valuer continuellement et proportionnellement le niveau de s\u00e9curit\u00e9 de chacun de ces tiers et personnes impliqu\u00e9es.<\/strong>\n <\/p>\n<\/p>\n \n \n \n Identifier ses activit\u00e9s cl\u00e9s et les donn\u00e9es associ\u00e9es<\/strong>\n <\/p>\n<\/p>\n \n \n \n L’entreprise doit avant tout conna\u00eetre les activit\u00e9s et les donn\u00e9es et renseignements essentiels \u00e0 son fonctionnement. Un inventaire syst\u00e9matique des actifs de l’entreprise est indispensable pour s’assurer que les \u00e9l\u00e9ments identifi\u00e9s comme critiques sont correctement prot\u00e9g\u00e9s et bien g\u00e9r\u00e9s.<\/span>\n <\/p>\n<\/p>\n \n \n \n Cartographier son \u00e9cosyst\u00e8me<\/strong>\n <\/p>\n<\/p>\n \n \n \n L’entreprise doit \u00eatre en mesure d’identifier les tiers impliqu\u00e9s dans ses activit\u00e9s cl\u00e9s ou ayant acc\u00e8s \u00e0 ses donn\u00e9es sensibles. Une cartographie des interactions avec les partenaires, les employ\u00e9s, les fournisseurs et intervenants sera fondamentale pour les \u00e9tapes suivantes, permettant de mesurer l’impact potentiel de leur d\u00e9faillance.<\/span>\n <\/p>\n<\/p>\n \n \n \n \u00c9valuer ses tiers de mani\u00e8re continue et proportionn\u00e9e<\/strong>\n <\/p>\n<\/p>\n \n \n \n L’entreprise doit conna\u00eetre en permanence le niveau de s\u00e9curit\u00e9 et de gestion de ses tiers en fonction des services offerts pour savoir o\u00f9 et quand mettre en place des solutions palliatives pour limiter les risques li\u00e9s \u00e0 une \u00e9ventuelle d\u00e9faillance.<\/span>\n <\/p>\n<\/p>\n \n \n \n Pour rendre cette approche \u00e9conomiquement viable, la mise en place de la cartographie permet de conna\u00eetre l\u2019\u00e9tat des lieux. Une \u00e9valuation continue et adapt\u00e9e \u00e0 la criticit\u00e9 de chaque tiers doit \u00eatre mise en place, bas\u00e9e sur des donn\u00e9es actualis\u00e9es.<\/span>\n <\/p>\n<\/p>\n \n \n \n Traditionnellement, le risque cyber \u00e9tait \u00e9valu\u00e9 ponctuellement, au mieux une fois par an ; cela n’est plus suffisant dans un environnement o\u00f9 les menaces \u00e9voluent quotidiennement. Le v\u00e9ritable d\u00e9fi est de passer \u00e0 une \u00e9valuation dynamique et continue, observant et analysant chaque mouvement des acteurs de l’\u00e9cosyst\u00e8me de l’entreprise autant au niveau physique que num\u00e9rique.<\/span>\n <\/p>\n<\/p>\n \n \n \n Conclusion<\/strong>\n <\/p>\n<\/p>\n \n \n \n La s\u00e9curit\u00e9 des entreprises ne repose plus uniquement sur leurs propres d\u00e9fenses, mais aussi sur celles de leurs partenaires. C’est le collectif qui doit l’emporter! Pour cela, une approche dynamique et collaborative est indispensable, appuy\u00e9e par des outils adapt\u00e9s pour relever ce d\u00e9fi et prot\u00e9ger les entreprises dans un monde num\u00e9rique en constante \u00e9volution.<\/span>\n <\/p>\n<\/p>\n \n \n \n Note : L’image illustrant cet article a \u00e9t\u00e9 cr\u00e9\u00e9e \u00e0 l’aide d’une intelligence artificielle g\u00e9n\u00e9rative fournie par le service de LinkedIn.<\/span>\n <\/p><\/p>\n","protected":false},"excerpt":{"rendered":" Aujourd’hui, garantir la s\u00e9curit\u00e9 informatique et la bonne gouvernance des renseignements d’une entreprise est devenu un effort collectif o\u00f9 tous ses partenaires et fournisseurs doivent s’impliquer activement pou…<\/p>\n","protected":false},"author":1,"featured_media":1328,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts\/1329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/comments?post=1329"}],"version-history":[{"count":0,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/posts\/1329\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/media\/1328"}],"wp:attachment":[{"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/media?parent=1329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/categories?post=1329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.infrainfo.ca\/index.php\/wp-json\/wp\/v2\/tags?post=1329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}