Il existe différentes stratégies pour traiter le sujet de la sécurité au sein des organisations publiques ou privées. Elles peuvent généralement être classées en deux catégories : les stratégies basées sur la prévention et les stratégies basées sur la détection.
Dans une stratégie basée sur la prévention, une organisation fait de son mieux pour renforcer ses systèmes contre les attaques potentielles.
Dans le cadre d'une stratégie basée sur la détection, l'équipe de sécurité travaille de manière proactive pour identifier et corriger les menaces.
Quelle que soit la stratégie déployée en amont, le troisième pilier de la sécurité d'une organisation est sa capacité à répondre en temps réel aux attaques et actes malveillants.
Une stratégie basée sur la prévention
En déployant des solutions de sécurité telles que des systèmes d'alerte, de contrôle d'accès ou en renforçant la formation des employés, une organisation peut réduire considérablement la probabilité d'être victime d'un acte malveillant.
En ayant recours à une sécurité basée sur la prévention, une organisation se concentre uniquement sur l'amélioration de ses systèmes de sécurité existants. Ce type de sécurité ne nécessite pas les ressources, les connaissances et l'expertise nécessaires pour traiter les problèmes de sécurité quotidiens. Par conséquent, de nombreuses organisations se concentrent sur la prévention pour éviter d'avoir à investir dans ce type de ressources.
Le principal problème de la sécurité basée sur la prévention est qu'elle n'est pas toujours efficace. Dans le passé, les organisations pouvaient se protéger de la grande majorité des attaques physiques et informatiques. Les malfaiteurs utilisaient des outils moins sophistiqués. Les attaques étaient moins nombreuses et moins complexes.
Avec la convergence de la sécurité physique et de la sécurité informatique, l'arrivée de l'IoT, etc., la surface d'attaque potentielle s'est élargie et les stratégies de prévention adoptées hier ne suffisent plus aujourd'hui.
Cependant, nous pouvons facilement voir les similitudes dans les stratégies de prévention entre la sécurité physique et informatique. La phase de prévention de la sécurité comprend la conception et la mise en œuvre de politiques de sécurité, de programmes de sensibilisation (culture de sécurité) et d'outils technologiques (contrôle d’accès).
Les politiques de sécurité, les programmes de sensibilisation à la sécurité et les procédures de contrôle d'accès sont tous interdépendants et doivent être élaborés dès le début.
La politique de sécurité est la pierre angulaire à partir de laquelle tout le reste est construit.
Politique de sécurité
Le premier objectif de l'élaboration d'une stratégie de sécurité est de déterminer ce qui doit être protégé et de le documenter. Cette politique doit définir les responsabilités de l'organisation, des employés et de la direction. Il devrait également définir les responsabilités pour la mise en œuvre, l'application, l'audit et les contrôles récurrents.
La politique doit être claire, concise, cohérente et homogène pour être comprise.
Si elle n'est pas bien comprise, la politique sera mal appliquée et inefficace. De plus, la politique de sécurité doit être connue de tous, ce qui nous amène à la culture de sécurité.
Culture de sécurité
La culture de sécurité consiste à faire adhérer tous les employés aux objectifs de sécurité qui traduisent directement la politique de sécurité de l'organisation. Rendre son organisation réceptive à une culture de sécurité ne consiste pas simplement à communiquer des principes. Investir le champ de la culture de sécurité c'est être capable de traduire sa politique de sécurité à travers des manières de faire et de penser à acquérir et pérenniser.
C'est autant un horizon axiologique que des actes pragmatiques que l'organisation doit promouvoir pour donner un sens à l'adhésion de l'ensemble des collaborateurs pour une culture de sécurité commune. Ainsi, la culture de sécurité ne peut émerger durablement sans une approche systémique permettant d'en mesurer l’appréciation, l’appropriation et le partage de cette dernière à tous les échelons de l'organisation.
Contrôle d’accès
Le contrôle d'accès est le terme générique qui définit la manière dont l'utilisateur utilise les systèmes d'information pour obtenir des informations d'une part, mais également la manière dont il accède aux différents locaux de l'entreprise. Naturellement, tous les utilisateurs ne doivent pas pouvoir accéder à tous les locaux et à tous les systèmes et à leurs informations.
L'accès doit être limité et accordé en fonction des besoins opérationnels de l'organisation.
Que ce soit dans le cadre de la sécurité physique ou de la sécurité informatique, il est nécessaire d'identifier, d'authentifier puis d'autoriser l'utilisateur à accéder à tel système ou telle pièce de l'organisation.
Une stratégie basée sur la détection
Détecter un acte malveillant en temps réel est extrêmement important, pour ne pas dire critique. Dans un contexte de menaces croissantes, quel que soit le niveau de sécurité d'une organisation, cette sécurité sera mise à mal si la motivation et les compétences des criminels sont plus importantes.
Il n'existe pas de solution de sécurité "miracle" infaillible.
Une stratégie de défense en couches doit être déployée afin que lorsqu'une des couches est compromise, par exemple si l'organisation fait face à une intrusion malveillante, l'alarme silencieuse se déclenche, incitant les employés à quitter les lieux, et une stratégie de défense est activée.
Un des exemples de la mise en place d’une sécurité en couche est le Modèle SCM - Security Circle Model préconisé par CARINEL.
Le SCM permet en effet de modéliser et mettre en place un système de sécurité complet et intégré couvrant :
les outils de surveillance et de supervision, comme les caméras et les alarmes ;
les moyens techniques de sécurité "passive", comme le contrôle d'accès ;
les moyens humains et organisationnels de sécurité "active", s'appuyant sur les actions d'accompagnement au changement ;
l'analyse prédictive des risques, pouvant s'appuyer sur des outils numériques d'aide à la décision.
Il est à noter que l'élément le plus important de cette stratégie est la détection et la notification en temps opportun d'une compromission. Cependant, il ne s'agit pas simplement d'une notification ou d’une alarme, mais plutôt d'une notification "intelligente".
Stratégie de réaction
Pour que la stratégie de prévention et de détection ait une valeur, l'organisation doit être en mesure de réagir rapidement à un acte malveillant ou à un incident. C'est pour cette raison que la stratégie de réponse aux incidents et aux crises doit être planifiée longtemps à l'avance et faire partie de la stratégie globale de sécurité de l'organisation.
Prendre des décisions importantes ou élaborer des politiques en cas d'attaque est une recette pour le désastre.
L'Etat a mis en place la stratégie de réponse à la crise, les hôpitaux ont leurs propres plans dont le PSE, les écoles ont leurs PPMS etc. Les entreprises du secteur privé ont leurs propres stratégies de gestion des accidents et des incidents et investissent de plus en plus la gestion de crise. Cependant, elles ne sont pas toutes dotées d'une politique, stratégie ou schéma directeur de sécurité récemment mis à jour face aux menaces qui les concernent. Bien sûr toutes les entreprises et institutions n'ont pas le même niveau de vulnérabilité, c'est pourquoi il est impératif d'adopter un plan de sécurité-sûreté proportionnel à son activité.
Conclusion
Pour faire face à une crise, un acte malveillant, un accident ou un incident, une organisation doit être correctement préparée. Le triptyque “Prévention-Détection-Réaction” est nécessaire pour avoir une réponse appropriée aux différents types d'attaques, qu'elles concernent la sécurité physique ou la sécurité informatique.
Enfin, une gestion rigoureuse de ce triptyque avec les retours d'expérience est nécessaire pour assurer l'amélioration continue de la sécurité et de la sûreté d'une organisation.
Le soutien et la participation de toute l'organisation sont primordiaux et la direction doit être en mesure de porter le sujet de la politique de sécurité.
Komentáře