Un RSSI doit tout d’abord connaître précisément son système d’information. Cela suppose de cartographier l’existant dans les environnements on-premise et/ou cloud : applications, systèmes d’exploitation, serveurs, terminaux mobiles et fixes, périphériques…

Sauvegarder une fois c’est bien, deux fois c’est mieux, trois fois c’est encore mieux. Il est nécessaire de cadencer les sauvegardes en fonction du volume d’activité. Ces sauvegardes doivent être déconnectées, conservées en lieu sûr si possible à distance, et régulièrement testées.

Patcher et mettre à jour au fil de l’eau les logiciels et systèmes permet de combler d’éventuelles failles de sécurité.

Face à l’accroissement et à la complexité des cyberattaques, le RSSI ne peut se contenter des solutions périmétriques traditionnelles de type antivirus, pare-feu et VPN.

L’état actuel de la menace exige une dose d’automatisation afin d’analyser les flux en temps réel. Les solutions à base d’intelligence artificielle permettent d’établir des corrélations entre des événements et détecter des comportements suspects.

Pour faire appliquer des règles de bon sens, il faut commencer par les formaliser. Annexée au règlement intérieur, une charte informatique fixe le cadre d’utilisation par les collaborateurs des ressources numériques mises à leur disposition – ordinateur, messagerie électronique, accès internet… – et les sanctions éventuellement applicables en cas de manquement.

Le concept « zero trust » connaît un succès croissant. Comme son nom l’indique, il part du postulat que l’on ne peut n’accorder, par défaut, aucune confiance aux utilisateurs et aux terminaux sur la seule base de leur emplacement physique ou réseau.

Cette approche repose, entre autres, sur la définition de micro-périmètres au sein du système d’information, des zones de confiance, comme dans un aéroport.

Avec la généralisation du télétravail, la collaboration à distance se banalise augmentant la surface d’exposition aux risques. À l’extérieur de la barrière protégée de l’entreprise, l’utilisateur ne doit emporter que les données qui lui seront nécessaires, de préférence chiffrées.

En cas de vol ou de perte d’un terminal, une solution de gestion de flotte de mobiles, MDM (Mobile device management), permet de le géolocaliser et, le cas échéant, de le bloquer et d’effacer ses données à distance.

L’Homme est un maillon faible de toute politique de cybersécurité. Au-delà de rappeler les règles d’hygiène de base et forcer le renouvellement des mots de passe, il convient, à intervalles réguliers, de sensibiliser les collaborateurs à la sécurisation des données, aux modalités de partage et de conservation.  

Près de cinq ans après la mise en place du RGPD, le volume de données personnelles qui font l’objet d’une fuite en interne de manière accidentelle reste particulièrement élevé. Faire vivre une politique de data privacy est donc essentiel.

Plutôt que de proposer des formations théoriques peu engageantes, il est possible de simuler des campagnes de cyber attaques ultras réalistes afin d’identifier les employés « à risque », puis leur apprendre à ne plus tomber dans les pièges tendus par les hackers.

La souscription d’une assurance dédiée fait partie de la panoplie d’une entreprise pour se protéger du risque cyber. Face à la multiplication des cyber attaques, et tout particulièrement des ransomwares, les assureurs ont élevé leur niveau d’exigence.

Le RSSI joue un rôle clé pour obtenir la meilleure police d’assurance possible en donnant des gages en termes de mesures de protection et de gouvernance.

Selon la formule consacrée, la question n’est plus de savoir si une entreprise va ou non subir une cyberattaque, mais quand. Toute crise s’anticipe. Le RSSI participe activement à la mise en place de continuité et de reprise d’activité (PCA/PRA). Il sera aussi, bien sûr, dans la cellule de gestion de crise le jour venu.

Toutes les précautions imaginables seront un jour contournées par des groupes malveillants : la solution est alors de chiffrer les données de l’entreprise. Elles seront inutilisables s’il y a fuite malgré toutes les précautions. 

Il faut disposer de son système propre, chiffrant à la volée toute communication et tout dossier, avec des clés d’accès permettant de déchiffrer connues de vous seul et des personnes à qui vous accordez le droit de comprendre le contenu.

Le RSSI se doit de cumuler les précautions : les dix commandements de base sont simples à mettre en place. Leur non-implémentation peut être synonyme d’une attaque qui aurait pu facilement être déjouée… Seul le chiffrement permet de prévenir un usage malveillant des données.