webleads-tracker

La « Business Résilience », 5 règles pour aborder autrement la cyber-sécurité

24juin

La « Business Résilience », 5 règles pour aborder autrement la cyber-sécurité

Le risque cyber est impossible à éviter. De ce fait la continuité d’activité est un au coeur des enjeux de cybersécurité pour les entreprises. Il s’agit de développer une approche 360° et orienté business. Voici les 5 règles essentielles pour rendre votre entreprise cyber-résiliente.

Règle n° 1 : Partir du métier pour évaluer les impacts

Pour conduire l’analyse d’impact, il faut prendre en compte l’ensemble des facteurs susceptibles de nuire à la bonne marche de l’activité, en considérant chaque métier de l’entreprise.

Cela dépasse largement la gestion des systèmes et implique de commencer par identifier les activités essentielles à votre entreprise. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité.

Pour mener à bien cette première étape de l’analyse d’impact, il faut mener une étude approfondie de l’ensemble des départements de l’entreprise pour identifier les activités qu’ils réalisent et la manière dont chacun prend part aux différentes procédures.

Règle n° 2 : Identifier les activités critiques et évaluer le niveau de tolérance à l’interruption

Il s’agit de mener des entretiens avec les collaborateurs pour identifier les activités critiques et les liens d’interdépendance vis-à-vis d’autres services ou d’acteurs externes à l’entreprise.

Challengez les équipes dans chaque service et direction. Différents indicateurs peuvent vous aider à évaluer les effets d’une interruption de l’activité selon différents critères : le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO).

A travers ces indicateurs, vous allez pouvoir recenser ce qui est acceptable en terme d’interruption pour chaque service et ce jusqu’à la capacité réelle de votre IT à supporter les métiers.

Règle n° 3 : Aligner les besoins au service du business

D’un service à l’autre, les perceptions de ce qui est acceptable peuvent diverger. Un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. Dans la plupart des cas ce sera au top management de faire les arbitrages au regard des risques encourus et de décider du niveau d’exposition acceptable par rapport au secteur d’activité et à la clientèle, en cas d’incident majeur.

Règle n° 4 : Evaluer les processus afin de retenir les meilleures solutions

Pour compléter votre analyse d’impact, il faut réaliser une analyse des risques pour :

  • Identifier les menaces pouvant conduire à l’interruption d’une activité critique pour votre entreprise
  • Evaluer la probabilité de leur survenance

On peut alors imaginer des scénarii et des plans de reprise d’activité dans les meilleurs délais selon les différents cas de figure.

Faites des simulations en soumettant vos processus à la menace identifiée afin d’envisager les solutions à mettre en place, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques.

Règle n° 5 : Distinguer le risque de la menace

Beaucoup confondent risque et menace. Il est toutefois important de les distinguer.

La menace est un élément bien particulier, parfaitement identifiable. Il peut s’agir de la divulgation d’informations, d’une tentative de corruption, d’une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.

Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires.

On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter.

Source : ebrc.com


Pour aller plus loin

>>> Sécurité des périphériques de bureau : où en est votre PME ?

>>> [Enquête] La cybersécurité des entreprises de moins de 50 salariés

>>> 5 étapes pour un programme de sensibilisation à la sécurité informatique réussi

Posté par GlobalPartner  Posté le 24 Juin 
  • cyber-résilience, évaluation des risques, plan de reprise activité
  • Commentaires publiés : 0