Dans ce cours, nous allons parler des bonnes pratiques de l'agence nationale pour la sécurité des systèmes d’information, ANSSI, pour protéger les systèmes d’information numériques connectés.
Tout d’abord, nous allons voir comment vous percevez le niveau de sécurité de votre entreprise.
Par exemple, pensez-vous que le fait d’avoir un pare-feu suffise à vous protéger de la cybercriminalité ? Vous envisagez d’acquérir un système de détection d’intrusion ; pensez-vous que c’est indispensable ? Les antivirus et les antispams sont déployés sur tout notre parc, notre SI est-il donc sécurisé ?
Ma messagerie est protégée par un mot de passe, ne risqué-je pas d’intrusion ? Mes données sont chiffrées sur mon disque dur, mais le sont-elles pendant les échanges ? Mes sauvegardes se réalisent régulièrement de manière automatique, suis-je tranquille ?
Enfin, le compte Invité a été désactivé, le compte Admin est protégé par un mot de passe, donc aucun souci sur les privilèges de mon poste de travail ?
Ce sont tous ces sujets que nous allons aborder dans les bonnes pratiques.
À qui s’adressent ces bonnes pratiques ?
Ces bonnes pratiques s’adressent aux chefs d’entreprises, aux responsables des systèmes d’information, et elles ne sont pas de trop pour les hommes de la sécurité (appelés les RSSI). Elles s’adressent également à vous, les utilisateurs d’ordinateurs et à ceux qui veulent se protéger dans leur usage quotidien de leurs objets numériques.
Qu’est-ce qu’une bonne pratique ?
Une bonne pratique est souvent considérée comme un point secondaire ou optionnel, mais en réalité c’est un objectif métier. Il s'agit d'un ensemble de comportements à respecter pour atteindre un objectif métier de qualité.
Qui décide les bonnes pratiques ?
Ce sont les experts du domaine concerné qui les émettent. Elles peuvent être écrites sous forme de guide, généralement consensuel, ou labellisées par des filières ou par des autorités. Une bonne pratique n'est pas une obligation légale, sauf si celle-ci a été rendue publique. Elle devient alors imposable et même requise pour obtenir une référence de votre système d’information, ou simplement pour expliquer que vous êtes conforme à la législation.
L'écosystème de la sécurité du système d'information
Dans le cas de la cybersécurité, l’Agence nationale pour la sécurité des systèmes d’information est l’autorité en place pour veiller à ce que ces bonnes pratiques soient largement diffusées, connues, publiées et imposables.
La filière métier, via la Confédération des petites et moyennes entreprises (CGPME), s'est associée très tôt avec l’ANSSI pour pouvoir lister 12 règles essentielles à mettre en place immédiatement sur les systèmes d’information. La mise en place de ces règles se fait sous la responsabilité des chefs d’entreprise, ou éventuellement du responsable de la sécurité des systèmes d’information ou du responsable du système d’information.
Mais qui régule en France la mise en place des bonnes pratiques de la SSI ?
Le rôle de l’Agence nationale de la sécurité des systèmes d’information est de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France.
Pour en savoir plus sur l'ANSSI, rendez vous sur leur site Internet.
