J'entends régulièrement la même remarque de la part de dirigeants d'entreprise que je rencontre. Ils ressentent le besoin de mettre en place des mesures de sécurisation, mais ne savent tout simplement pas par où commencer. 

C'est tout à fait normal ! Et le vrai risque est de ne rien faire, pas de mal faire 

Alors si je devais donner un conseil, c'est d'appliquer une approche pragmatique. Des actions simples permettent d'obtenir des résultats rapides, avec juste un peu de méthode.

Pensez à la protection des personnes au travail : on identifie des risques, on regarde lesquels sont les crédibles et les plus dangereux pour les collaborateurs, puis on met en place des solutions reconnues : chaussures de sécurité, casques, protections diverses.

Les choses fonctionnement exactement de cette manière en informatique.

Faire l'inventaire

On commence par répertorier les éléments (on parlera d'actifs) pour ensuite les classer du plus précieux au moins précieux. Pour cela on doit se poser une question simple : "quel est l'impact sur mon entreprise si par malheur cet actif disparait". Est-ce ennuyeux mais pas très grave, ou au contraire un élément qui mettrait l'entreprise totalement à l'arrêt en cas d'incident ?

Pensez opérationnel. Pensez métier. Pensez avec le point de vue de celui qui connait bien son entreprise. C'est votre grande force ! La technique est secondaire à ce stade.

Identifier les risques

Déterminer pour chaque actif la probabilité qu'un évènement (comprendre, un incident) survienne. En gros, déterminer les risques. Je suis conscient que ce point nécessite un peu d'aide si on est pas totalement au fait des menaces, mais l'objectif est assez simple : associer un actif et la probabilité qu'un incident survienne avec un classement : Est-ce impossible ? Peu probable ? Occasionnel ? très probable ? Certain ?

Un exemple caricatural (en théorie) : "quel est le risque de piratage pour un ordinateur sans antivirus, utilisant des logiciels qui ne sont pas à jour, et utilisé par un utilisateur non formé qui reçoit 50 mails par jour ?". Et à l'inverse : "quel est le risque que ce logiciel, accessible seulement depuis un ordinateur sans aucun accès à un réseau puisse être détourné de son usage ?"

Certaines réponses viennent avec du simple bon sens. N'oubliez pas de tenir compte des mesures déjà en place dans votre évaluation.

En quelques étapes, vous venez d'obtenir :

1. La liste de vos actifs
2. Le risque associé
3. L'impact potentiel

Avec un peu de travail de synthèse, vous obtenez donc vos priorités.

Tout devient normalement plus clair et répond à la question de départ "par où commencer ?". Ne reste plus qu'à se poser la question des mesures à prendre.

A ce stade (et même plus tard), ne tombez juste pas dans le piège d'une approche uniquement technique. Les outils ne font pas tout. Il faut penser au maillon fort de votre structure : les utilisateurs (formation).

Et si quelqu'un vous propose une solution "clé en main", demandez-lui sur quel axe elle va agir. Vous saurez si elle répond vraiment à vos priorités.

Ces ressources peuvent vous aider :

- Le guide de l'ANSSI pour la cybersécurité des PME et TPE

- Le guide d'hygiène de l'ANSSI, en 42 mesures

Le second est riche. Très riche. Ne vous sentez pas intimidé en le parcourant.

On parlera très prochainement d'une méthode importante dans ce contexte : EBIOS RM.

N'hésitez pas à me contacter pour y voir plus clair !

Et découvrez mon positionnement sur cet article.