Selon une étude menée par IDC pour le cabinet de conseil mc2i, 70 % des entreprises françaises ont augmenté leurs dépenses de cybersécurité en 2021. Mais comment investir au mieux ces budgets accrus pour renforcer un programme de cybersécurité ?Pour de nombreuses organisations, la mise en place d’une solide architecture de sécurité des informations (EISA) devrait figurer en tête des priorités, car elle participe à la protection des actifs IT critiques des entreprises contre les menaces.
La cybersécurité d’entreprise désigne l’architecture, les protocoles et les outils, utilisés pour protéger les actifs hors et en ligne contre tous types de cyberattaque. Elle se distingue de la cybersécurité générale au sens où les organisations modernes disposent d’une infrastructure complexe, qui nécessite une politique de sécurité solide, des évaluations constantes et une gestion efficace pour éviter les incidents de sécurité.
L’architecture de sécurité des informations d’entreprise
L’architecture de sécurité des informations d’entreprise est le sous-ensemble de l’architecture d’entreprise (EA) axé sur la sécurisation des données de l’organisation. L’EISA décrit ainsi les principes et les procédures de sécurité fondamentaux appliqués par une entreprise pour sécuriser les informations. Cela inclut non seulement les systèmes et autres équipements, mais aussi les membres du personnel, leurs rôles et leurs fonctions. Ces informations sont définies dans le contexte des exigences organisationnelles, des priorités, de la tolérance au risque et des facteurs connexes, afin de veiller à ce que l’EISA réponde aux besoins actuels et futurs de l’entreprise.
L’EISA comporte quelques éléments clés, qui remplissent chacun des objectifs spécifiques :
- Le contexte opérationnel, qui définit les cas d’utilisation des informations de l’entreprise et leur importance pour atteindre les objectifs opérationnels ;
- La couche conceptuelle, fournissant une vue d’ensemble, y compris le profil de l’entreprise et les attributs de risque ;
- La couche logique, distinguant et définissant les chemins logiques entre les informations, les services, les processus et les applications ;
- La mise en œuvre détaille quant à elle les formes de déploiement de l’EISA ;
- Et enfin les outils, qui font l’inventaire des logiciels, dispositifs, processus et autres composants utilisés pour atténuer les vulnérabilités de sécurité et garantir la sécurité à l’avenir.
Une EISA solide est un atout pour l’encadrement de la planification de la sécurité à tous les niveaux. Elle fournit les informations précises nécessaires pour prendre les meilleures décisions quant aux processus et solutions à mettre en œuvre dans l’environnement IT et à la gestion du cycle de vie des technologies. De plus, une architecture de sécurité des informations d’entreprise dûment documentée et publiée est essentielle pour se conformer aux nombreuses normes industrielles en vigueur, ainsi qu’aux réglementations légales.
La création d’une EISA & les défis associés
L’élaboration d’une stratégie EISA optimale peut se révéler difficile, surtout lorsque certains obstacles peuvent se dresser dans sa création et son déploiement. Le manque de communication et de coordination entre les différents départements, ou équipes, en matière de gestion des risques et de maintien de la sécurité IT est notamment un défi commun dans le déploiement d’une EISA. Les entreprises rencontrent également des difficultés à calculer le coût et le retour sur investissement associés aux outils de protection des données, ou manquent tout bonnement de financement afin de traiter correctement les questions de sécurité. Ces négligences peuvent donc mener directement à de l’insatisfaction à l’égard des premières mesures de sécurité mises en place ;telles que le filtrage du spam qui signale les correspondances valides et critiques.
La création d’une architecture de sécurité des informations d’entreprise comprend d’identifier et atténuer les lacunes et les vulnérabilités de l’architecture de sécurité en place. Cela passe donc par l’analyse des menaces de sécurité actuelles et émergentes et la manière de les atténuer, tout en procédant à une évaluation régulière des cyber-risques ; soient les cyberattaques, les logiciels malveillants, les fuites de données personnelles de clients ou d’employés, mais aussi les pannes de matériel et de logiciels.
L’EISA doit s’aligner sur la stratégie opérationnelle d’une entreprise et ainsi identifier les outils propres à la sécurité (comme la gestion des accès à privilèges), ainsi que les capacités de sécurité des solutions non liées à la sécurité (comme les serveurs de messagerie). Enfin, pour être le plus utile que possible, le rôle de l’EISA est de soutenir les exigences fixées par les normes de conformité applicables, telles que PCI DSS et le RGPD.
Et après ?
L’architecture est modulable et évolue en fonction des besoins d’une entreprise. C’est un processus continu, dans la mesure où le paysage des menaces, l’environnement IT, les technologies et les recommandations en termes de meilleures pratiques, sont en constante évolution. Elle demande donc des réajustements constants.
En somme, l’architecture de sécurité d’un système d’information désigne le cadre, les protocoles, les modèles et les méthodes nécessaires pour protéger les données que le système recueille, stocke et traite. Elle est un pilier de l’architecture d’entreprise, car elle évalue et améliore la sécurité et la confidentialité. En l’absence d’efforts suffisants en matière de sécurité, l’ensemble de l’infrastructure de l’entreprise, et par conséquent l’ensemble de son activité, est en danger. L’EISA joue donc un rôle décisif dans la protection des informations sensibles des entreprises.
Par Anthony Moillic, Director, Solutions Engineering EMEA et APAC chez Netwrix