Dans ce contexte et face au développement de la malveillance informatique, tant interne qu'externe,
les besoins de sécurité sont de plus en plus forts et, au-delà
de la protection et du contrôle, représentent des enjeux permettant
le développement des relations commerciales et le maintien de la
compétitivité des entreprises.
La sécurité : une méthodologie
Bien plus qu'un investissement, la sécurité appartient au fonctionnement tant sur les plans organisationnels que méthodologiques ou économiques. L'analyse des risques doit être à la base de tout projet de sécurité afin de pouvoir définir le niveau de protection requis en fonction des enjeux.
Une des tâches les plus difficiles est bien souvent de définir précisément ses besoins de sécurité en fonction du type de menace et de risque, et ce, au sein d'un environnement technique et fonctionnel de plus en plus complexe.
En environnement réseau ouvert, la sécurité commence par une parfaite visibilité sur le réseau d'entreprise (transparence vs obscurité) : infrastructure, points d'accès, ressources et utilisateurs connectés, flux.
Afin de bâtir un plan de sécurité avec des mesures robustes et adaptées, et parce qu'il est inutile de mettre en œuvre des dispositifs de sécurité inadaptés, mal conçus, mal configurés, mal acceptés ou mal exploités, il est nécessaire :
- d'identifier précisément les besoins de sécurité des métiers,
- élaborer une politique de sécurité en prenant en compte les contraintes et les obligations,
- Communiquer et sensibiliser tous les acteurs,
- concevoir une architecture de sécurité évolutive,
- privilégier les règles de sécurité par la configuration des composants,
- contrôler le respect de la politique de sécurité,
- évaluer la robustesse de l'architecture de sécurité, périodiquement et lors de chaque évolution significative,
- maintenir le niveau de sécurité en fonction de l'évolution des obligations, du système d'information et des menaces.
