Bonnes pratiques sécurité SI

Bonnes pratiques de sécurité informatique

Etude de cas, Processus métier

En bref

Secteur :

Start-up industrielle, partenaire exclusif d’un grand opérateur de l’énergie

Domaines d'application :

DSI et plus largement toutes les entités de la société

Délai de mise en place :

4 jours d’intervention

Les besoins :

  • Renforcer la cyber-sécurité dans l’organisation
  • Appliquer aux collaborateurs la procédure de sécurité interne
  • Informer automatiquement des tâches de sécurité à effectuer
  • Avoir une vision précise de l’avancée de la procédure

Les réponses :

  • Audit de cyber-sécurité
  • Modélisation des procédures de sécurité
  • Accompagnement et formation à la mise en place
  • Sensibilisation sur les bonnes pratiques en cyber-sécurité

Les bénéfices :

  • Centralisation & automatisation des rapports de sécurité pour le DSI
  • Renforcement du respect des pratiques de sécurité mensuelles
  • Diminution des risques d’attaque suite à une erreur humaine
  • Mise en conformité avec les clauses sécuritaires de l’accord de partenariat

Téléchargez gratuitement le schéma du processus

Cette étude de cas est un exemple mis en place au sein d’une organisation spécifique, elle ne reflète pas obligatoirement l’ensemble de vos problématiques et procédures.

La société :

L’entreprise X est une start-up française innovante du secteur de l’énergie. Repérée par un grand opérateur, elle a signé un accord de partenariat exclusif avec ce-dernier. Détentrice de nombreuses informations sensibles qu’il s’agisse des siennes ou de celles de l’opérateur, la protection de la propriété intellectuelle et des données est un facteur important pour sa pérennité.
Plusieurs fois victime de cyberattaques qui ont entraîné la perte dramatique de données la concernant, d’argent et de temps, elle souhaite désormais se prémunir au maximum contre ces destructions et/ou vol de données.
Elle souhaite également ne pas perdre la confiance de son partenaire exclusif et a donc accepté d’être auditée à la demande de l’opérateur.

Le besoin :

Consciente des besoins en disponibilité, en intégrité et en confidentialité de ses données, l’entreprise a décidé de mettre en place des mesures strictes. Malheureusement les mesures mises en place initialement par la DSI sont trop souvent oubliées, pas assez régulières et peu connues des nouveaux arrivants. Peu sensibilisés et éloignés des impacts de ces incidents de sécurité, les collaborateurs ne réalisent pas leur importance et les jugent chronophages.

La dernière attaque subie est due à une erreur humaine, interne à l’entreprise. C’est une négligence qui aurait pourtant pu être évitée si toutes les mesures de sécurité avaient été respectées. Devant la menace grandissante des cyberattaques et les multiples erreurs internes commises, la Direction a dû agir.

Elle devait trouver une solution pour que tous les collaborateurs effectuent régulièrement les actions nécessaires et imposées par la DSI dans l’optique de renforcer la sécurité informatique. La DSI souhaitait aussi trouver un moyen d’être informée de l’avancée des opérations de sécurité effectuées par chaque utilisateur. La volonté était d’être notifiée en temps
réel suite à l’identification d’un problème ou en cas de non réalisation par un salarié d’une tâche imposée.

« Si l’on pouvait structurer en un processus sécurité les bonnes pratiques d’hygiène informatique et les automatiser auprès des collaborateurs avec des alertes intégrées, cela serait un formidable moyen d’améliorer le niveau de sécurité de l’organisation. »
Diane Rambaldini, Crossing Skills

La réponse :

Mandatée par l’opérateur, le partenaire exclusif de l’entreprise X, Crossing Skills, experte et conseillère en cyber-sécurité, est intervenue pour réaliser un audit de sécurité afin de mieux comprendre le fonctionnement et les besoins de l’entreprise. Crossing Skills a réussi à mettre en évidence de nombreux manquements essentiels à la sécurité des données.

Avant cela, l’entreprise X a été conviée à participer à une mission d’analyse de risques menée pour le compte de l’opérateur, en tant que tiers interagissant avec lui.

Il a été ensuite décidé de pallier aux manquements les plus flagrants en mettant en place un processus mensuel de maintien de la sécurité. La majorité des mesures à appliquer sont notamment des basiques, qu’on retrouve dans le guide des bonnes pratiques de l’informatique émis par l’ANSSI en partenariat avec la CGPME. Ce sont des règles élémentaires que chaque utilisateur doit appliquer régulièrement. Des travaux plus lourds mais plus longs à mettre en oeuvre seront déroulés une fois budgétés.

Sur les recommandations de Crossing Skills, InteropSys est intervenu dans la modélisation et la mise en place d’une procédure automatisée. L’objectif étant de structurer et de faciliter l’application de la procédure décidée par la DSI. La modélisation graphique de la procédure permet à l’ensemble des collaborateurs de se rendre compte des tâches qu’ils ont à effectuer. Cette procédure se lance automatiquement tous les mois et notifie chaque collaborateur de l’ensemble des actions qu’il doit entreprendre afin de veiller à la sécurité de son propre poste de travail.

Les bénéfices :

Les collaborateurs de l’entreprise sont aujourd’hui plus vigilants, ils connaissent désormais les risques liés à une cyberattaque et à la perte de données.

Les collaborateurs sont plus impliqués dans le bon maintien de leurs outils de travail, ils connaissent et sont avertis automatiquement des mesures à appliquer mensuellement et/ou annuellement, ils savent où ils en sont et ce qui leur reste à faire. Les risques liés aux oublissont aujourd’hui proches de zéro.

La DSI est en mesure de connaître le suivi de toutes les actions de sécurisation réalisées par les collaborateurs. L’ensemble des données sont centralisées, regroupées et accessibles via IteropSuite. La DSI bénéficie désormais d’un contrôle en temps réel et par collaborateur. Des alertes lui sont envoyées automatiquement en cas de non-respect de la procédure ou de problèmes identifiés.

La Direction et les responsables métiers ont noté une forteamélioration des pratiques liées à la sécurité et au respect des procédures. Les risques d’attaque suite à une erreur humaine ou à un non-respect de la procédure ont fortement diminué. De plus, les délais de réalisation sont fortement optimisés car l’ensemble des échanges est automatisé.

Visualisez graphiquement le processus de bonnes pratiques de cyber-sécurité.

Articles qui pourraient vous intéresser :

La gestion des notes de frais

La gestion des notes de frais Un processus incontournable qui simplifie le quotidien de vos collaborateurs. Ce processus a été déployé pour nos équipes et est actuellement en production chez Iterop. Problématique Avant, les collaborateurs oubliaient bien souvent de...

lire plus

Organiser une soirée raclette

Concrètement ça fonctionne comment un processus avec Iterop ? Cette question on nous la pose assez souvent. Voici alors l'explication ultime de la gestion de processus expliquée avec du fromage fondu. La grande problématique lorsque l’on organise une soirée raclette,...

lire plus

Gestion d’une junior-entreprise

Une junior-entreprise totalement digitalisée Pro'Pulse est implantée au sein de l'école nationale des Mines Albi Carmaux Le problème La Junior Entreprise avait des difficultés à centraliser les documents et les différents intermédiaires de chaque mission. Les membres...

lire plus