Audit sécurité Au clair en matière de cybersécurité
Les entreprises de logistique ne sont pas à l’abri des cybercriminels. Pour s’en protéger, il existe la norme minimale pour les TIC édictée par la Confédération. Un audit selon cette norme est le premier pas vers une cybersécurité renforcée. Quels sont les avantages et comment se déroule-t-il?
C’est le cauchemar de toute entreprise de logistique: au démarrage des ordinateurs, les écrans restent noirs. Face à des données chiffrées, plus rien ne va – toute l’entreprise est à l’arrêt. Les hackers réclament une rançon et menacent de divulguer des données sensibles.
Ce n’est pas un hasard si les entreprises de logistique sont de plus en plus souvent confrontées à un tel scénario catastrophe. Premièrement, de plus en plus de processus logistiques sont numérisés et automatisés, ce qui engendre de nouveaux risques informatiques. Deuxièmement, il s’agit d’une branche en plein essor qui compte de nombreuses entreprises internationales lucratives. Enfin, les entreprises de logistique font partie de l’épine dorsale de l’économie suisse. Leur défaillance aurait de graves conséquences, sans compter un fort retentissement public. Du pain bénit pour les cybercriminels.
Renforcer la cybersécurité de manière ciblée
Il est donc d’autant plus important pour les entreprises d’identifier les lacunes de sécurité telles que des serveurs obsolètes, l’absence de mises à jour régulières des systèmes ou un comportement imprudent de la part du personnel, afin de les éliminer.
L’Office fédéral pour l’approvisionnement économique du pays (OFAE) leur apporte son aide grâce à une norme minimale qu’il a établie pour les infrastructures d’information et de télécommunication (TIC). Avec plus de 100 recommandations en matière de sécurité et de lignes directrices, elle vise à améliorer la capacité de résistance des entreprises face aux cyberattaques. Ces prescriptions concernent à la fois des aspects techniques et organisationnels et sont articulées en cinq fonctions:
La norme minimale pour les TIC définit différents niveaux de maturité correspondant au degré de préparation de l’entreprise en matière de cybersécurité. En effet, les entreprises n’ont pas toutes besoin du même niveau de résilience informatique dans tous les domaines opérationnels. Dès lors, elles peuvent définir de manière individuelle leur besoin de sécurité et le degré de préparation qu’elles visent pour chaque fonction. L’idée étant d’accorder les besoins en matière de cybersécurité avec les mesures mises en œuvre et le budget.
Un audit comme point de départ
Pour pouvoir améliorer un dispositif de sécurité, il est nécessaire
de dresser dans un premier temps une vue d’ensemble de toutes les mesures existantes et de les analyser en détail. Si possible, on les comparera ensuite avec d’autres entreprises. Un audit réalisé selon la norme minimale pour les TIC permet d’effectuer un tel bilan.
L’audit s’adresse d’une part aux organisations qui souhaitent connaître et comprendre leur niveau de maturité en matière de cybersécurité. D’autre part, il est indiqué pour les entreprises qui envisagent de se lancer dans un projet à long terme visant à renforcer leur sécurité.
L’entreprise argovienne terreActive SA (voir Infobox) est un prestataire suisse d’audits selon la norme minimale pour les TIC. Le CEO Urs Rufer résume les avantages d’un audit: «C’est un instrument efficace qui permet d’atteindre le niveau de sécurité visé grâce à l’optimisation permanente de toutes les mesures de sécurité.»
Faire le point en quatre étapes
Chez terreActive, un audit de sécurité se déroule en quatre étapes:
- Pour commencer, il s’agit de définir le calendrier et le cadre de l’audit.
- L’entreprise détermine son propre niveau de maturité dans le cadre d’une auto-évaluation. Cette étape est importante pour évaluer l’ensemble des mesures déjà prises.
- terreActive analyse ensuite la situation actuelle sur la base de l’auto-évaluation et de la documentation interne relative à la sécurité. Les spécialistes s’entretiennent en outre avec les responsables de l’entreprise auditée.
- L’audit se termine par la présentation des résultats. L’entreprise reçoit un rapport détaillé sur ses points forts et ses points faibles, y compris des recommandations de mesures, pour les étapes suivantes.
Les spécialistes IT de l’entreprise auditée peuvent se baser sur le rapport d’audit pour élaborer un concept de sécurité. Les mesures recommandées sont classées par ordre de priorité. Une partie du rapport consacrée au management aide par ailleurs la direction à mieux comprendre la situation actuelle et à planifier les ressources nécessaires pour combler les lacunes de sécurité identifiées.
Un audit réalisé selon la norme minimale pour les TIC vous intéresse? N’hésitez pas à contacter terreActive pour de plus amples informations (en allemand).
terreActive – spécialiste en cybersécurité de la Poste
La Poste est depuis toujours un transporteur fiable d’informations sensibles appartenant aux entreprises et à leur clientèle. Il est donc logique qu’elle propose aujourd’hui aux entreprises et aux autorités suisses une gamme complète de solutions de cybersécurité. Aussi, la Poste développe en permanence ses compétences informatiques, avec le soutien de son personnel et le savoir-faire de ses filiales spécialisées. L’une d’elles est la société terreActive SA basée à Aarau, dans laquelle la Poste participe à hauteur de 80%. Ses quelque 90 spécialistes s’engagent pour que les informations et données confidentielles des entreprises suisses soient encore mieux protégées.
En savoir plus: www.terreactive.ch (en anglais)