Ce qui prime, surtout au moment d’acheter une maison, c’est la situation, la situation, la situation. Mais qu’en est-il lorsqu’il est question d’acheter un produit de cybersécurité pour une entreprise ? Ce qui compte alors, ce sont les critères d’évaluation des produits. Mais quels sont-ils ? Voici donc le Top 5 des recommandations pour établir une liste des critères à réunir pour choisir une solution de cybersécurité.
1. Connaître les personnes concernées
Si cela coule de source quel que soit le projet, c’est peut-être deux ou trois fois plus important dans le cadre de projets de cybersécurité. Bien entendu, la cybersécurité est l’affaire de tous, si bien que quiconque travaille dans l’entreprise est concerné. Toute modification des process de cybersécurité risque aussi d’impacter la chaîne d’approvisionnement.
Pour qu’un projet aboutisse, il n’est pas raisonnable de penser pouvoir mobiliser activement l’ensemble des effectifs, mais il demeure possible d’identifier des individus qui représenteront des groupes présents dans l’entreprise. Ces représentants désignés devront être impliqués au plus tôt dans le projet et contribuer à la satisfaction des objectifs fixés.
2. Se focaliser sur le problème
Nul ne démarre un projet sans une problématique à résoudre. Souvent le déclencheur est le résultat d’un audit, mais c’est plus un catalyseur que la véritable cause. L’audit révèle l’existence d’un problème. Il s’agit alors de comprendre en quoi la résolution du problème profitera à l’entreprise, par-delà la conclusion de l’audit. Il est nécessaire de prendre de la hauteur et c’est la connaissance intime de l’entreprise qui permettra d’identifier le véritable problème. Une fois cela fait, il est possible de définir les critères de sélection de la solution. Il faut aussi veiller à rester focalisé sur la résolution du problème sans dériver des objectifs au point de s’égarer.
Les audits révèlent souvent que l’entreprise a un contrôle insuffisant sur l’utilisation des comptes privilégiés. C’est un constat largement partagé et généralement dû à un trop grand nombre de personnes disposant d’un accès non contrôlé aux comptes privilégiés et à un modèle de sécurité trop complexe. Effectivement, un trop grand nombre de comptes de super utilisateurs fait que le modèle de sécurité en devient significativement plus complexe. Non seulement, il convient de gérer le cycle de vie de ces comptes et de surveiller leur activité, mais ce grand nombre de comptes peut nuire à la fiabilité de détection d’activités malveillantes. Tout ceci conduit à un modèle de cybersécurité particulièrement complexe. Certaines personnes ont besoin de privilèges pour faire leur travail. Il faut donc réunir ces conditions sans exposer davantage l’entreprise à des risques.
3. Conduire le changement
En cas d’attaque, il est naturel de vouloir trouver des solutions rapides. On se tourne alors spontanément vers la technologie. « Il doit y avoir un outil ou une appli pour ça ! » Or la technologie est rarement l’unique solution. Quand on change d’outils, il faut changer le processus, ce qui suppose de former les équipes pour qu’elles soient au maximum opérationnelles.
Et pour tirer le meilleur d’un outil, il faut s’assurer qu’ils sont parfaitement adaptés aux changements voulus sur les processus. La conduite de tout changement important dans une entreprise repose sur trois éléments : les individus, les processus et la technologie, sans quoi la solution sera moins efficace avec un moindre retour sur investissement. Dans le pire des cas, le projet risque d’échouer induisant même plus de complications qu’à l’origine.
4. Valider les critères de cybersécurité à remplir
Il n’est pas rare que la personne en charge d’un projet manque d’expertise sur la problématique à régler. Le mieux pour commencer est d’établir une liste des critères attendus auprès des parties prenantes au projet. Ces listes sont alors communiquées au chef de projet qui en fait la synthèse et produit une liste définitive des critères à remplir. Cette liste peut inclure les éléments suivants :
- La suggestion de fonctions, y compris figurant dans des technologies existantes
- Les conditions de fonctionnement ou de déploiement de la solution
- L’expression de conditions impossibles à tenir pour faire échouer le projet (certaines personnes vont exprimer des conditions impossibles ou très difficiles à remplir par la solution, par peur de voir leurs pratiques de travail changer)
Mieux vaut leur laisser suffisamment de temps aux personnes interrogées une fois que le projet leur a été exposé, pour qu’elles digèrent son possible impact et éviter ainsi qu’elle se contentent de recopier une liste de fonctionnalités proposées sur le site web d’un fournisseur, surtout si elles sont déjà familières d’une solution en particulier. Et, même si le chef de projet est au fait du sujet dont il est question, mieux vaut que ce ne soit pas lui qui évalue la liste des critères : renvoyer l’intégralité des réponses obtenues aux personnes consultées peut permettre une meilleure articulation des besoins, avec à la clé des mesures de l’efficacité de la solution.
5. Faire de la cybersécurité une question centrale
La cybersécurité n’est plus une option aujourd’hui. Ces 5 à 10 dernières années, les médias ont amplement relayé les cas d’entreprises victimes de cyberattaques. Cependant, il ne faut pas oublier qu’ils ne rapportent que les cas les plus sensationnels et emblématiques. Nous sommes tellement dépendants de la technologie que nous utilisons que la résilience et la continuité des opérations des entreprises sont étroitement liées au maintien des systèmes en fonctionnement. Quand on envisage la cybersécurité sous cet angle, la sécurité de chaque système et de chaque projet de mise en œuvre d’un système n’est plus une option, mais une priorité absolue.
La question n’est plus « comment mettre en œuvre un système et le sécuriser » mais « comment garantir la sécurité de déploiement du système ». Les aspects de cybersécurité doivent être intégrés d’emblée à l’ensemble des processus qui forment la topologie de l’entreprise. Pour ce faire, il convient d’associer nouveaux projets et solutions de cybersécurité existantes et prévues. Ainsi, l’entreprise en retirera davantage de bienfaits. Un environnement déjà bien sécurisé et prêt pour une expansion facilitera la mise en œuvre réussie d’un nouveau système. Le simple fait de se saisir de chaque projet de cybersécurité dans une démarche évolutive augmentera la valeur ajoutée de chacun avec une plus grande fluidité de fonctionnement à la clé. Toute solution mise en œuvre doit tourner parfaitement dans l’environnement et, ce faisant, faire partie intégrante du processus métier en jeu. Plus les solutions seront en capacité de rendre les professionnels aussi productifs sinon plus dans leurs fonctions, plus ils se feront des promoteurs actifs de la cybersécurité.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));