Le mois de la sécurité de l'infrastructure est utile pour tout le monde

Version imprimable, PDF et e-mail

Nous entrons dans la dernière semaine du mois de la sécurité des infrastructures. Jusqu'ici, nous avons abordé les responsabilités et les risques partagés, la sécurisation des rassemblements publics et le renforcement de la sécurité et de la résilience dans les infrastructures critiques. Cette semaine, l'accent est mis sur la sécurité des élections et la résilience de nos processus démocratiques.

Dans le cadre de cette initiative hebdomadaire, la CISA s'adresse au personnel électoral des États-Unis pour lui rappeler que de nombreuses ressources de sécurité sont disponibles au sein de l'agence. Cette dernière propose notamment une formation avec exercices de simulation pour le scrutin anticipé, le vote par correspondance et les machines à voter ainsi que d'autres ressources en matière de cybersécurité. Les conseillers régionaux en sécurité préventive de la CISA peuvent également évaluer la sécurité de l'infrastructure physique utilisée dans le cadre des activités électorales. Elections Infrastructure Information Sharing and Analysis Center™ (EI-ISAC®) est une organisation à but non lucratif qui travaille avec la CISA pour répondre aux besoins en cybersécurité des circonscriptions électorales.

Le mois de la sécurité des infrastructures répond à un objectif précis mais nous pouvons l'utiliser librement. Cette initiative et les ressources de la CISA ne sont pas uniquement réservées aux responsables d'infrastructures critiques. Voici quelques exemples d'applications :

  • L'infrastructure en tant que « système de systèmes » est l'un des thèmes récurrents du mois de la sécurité des infrastructures : si l'un des composants de l'infrastructure n'est pas sécurisé, c'est l'ensemble qui est vulnérable. On pourrait dire qu'il en va de même pour votre entreprise. Votre Internet des objets, vos postes de travail, vos boîtes e-mail et vos appareils mobiles connectés sont tous des systèmes intégrés dans un système plus vaste. Et ce système peut échapper à votre propre contrôle si vous êtes connecté à une chaîne logistique ou à un prestataire de services qui peut accéder à votre réseau. Comment assurer la sécurité dans ce cas ? La CISA peut vous y aider. Commencez par suivre dès maintenant ces six étapes simples.
  • La sécurité de l'infrastructure ne se limite pas à la cybersécurité. Ainsi, la CISA propose des ressources sur l'atténuation des menaces liées à la violence et aux actes de terrorisme. Cependant, ce ne sont pas là les seules menaces physiques qui pèsent sur vos bureaux ou d'autres de vos installations. Ouragans, tremblements de terre, incendies (etc.), toutes sortes de catastrophes peuvent interrompre les activités de votre entreprise, en vous impactant personnellement ou votre chaîne logistique. La CISA dispose de ressources pour vous préparer aux catastrophes et aux interdépendances liées.
  • Faciliter la collaboration entre les différents responsables et les différents secteurs d'infrastructure est une tâche prioritaire pour les agences responsables du mois de la sécurité des infrastructures. Le National Risk Management Center (NRMC) fait appel à des experts en la matière pour analyser les menaces qui pèsent sur les fonctions critiques à haut risque, notamment dans la 5G et la cybersécurité des pipelines. Mais pour votre entreprise, il peut s'agir des e-mails, des applications e-commerce ou d'un réseau de contrôles industriels. Avez-vous identifié les fonctions critiques à haut risque dans votre entreprise ? Vos collègues, vos fournisseurs ou votre réseau professionnel peuvent-ils vous aider à comprendre et à atténuer les risques potentiels ?
  • Tous les secteurs et toutes les entreprises sont exposés aux incidents et aux menaces internes. Selon la CISA, une menace interne est un acte commis par un employé actuel ou ancien, un prestataire tiers ou un partenaire commercial. Votre entreprise est-elle protégée contre ces risques ? La CISA dispose d'importantes ressources pour vous aider à comprendre les risques et les signes annonciateurs. Il existe également des fiches d'information et des guides sur le rôle des RH et des autres services dans la prévention de ces menaces. La fiche Insider Threat Program Maturity Framework vous aide notamment à évaluer le risque encouru par votre entreprise. Bien qu'elle ait été rédigée à l'intention des organismes gouvernementaux, elle correspond aux besoins de la plupart des entreprises.
  • Pensez également aux exercices de simulation et aux évaluations de la vulnérabilité pour mettre au point les meilleures mesures d'atténuation et les meilleures interventions possibles. Les exercices de simulation sont l'occasion de tester votre réponse à une attaque par ransomware, à une catastrophe naturelle, à une panne de courant prolongée, etc. La CISA dispose de modèles et de scénarios permettant de personnaliser les menaces en fonction des spécificités de votre entreprise.

Les ressources, les activités et les initiatives proposées sont bien trop nombreuses pour toutes les aborder mais voici une sélection de recommandations :

Le mois de la sécurité des infrastructures touche à sa fin mais les menaces pesant sur notre infrastructure, notre économie et notre bien-être ne s'arrêteront pas là. Pour apprendre à mieux les connaître et à vous protéger en conséquence, consultez le site de la CISA.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager