Contexte.
« De nos jours, les médias renseignent régulièrement des attaques, piratages ou fuites de données dont sont victimes de nombreux organismes, tant publics que privés et ce tous secteurs confondus. Pourtant, ces nombreux événements ne reflètent que la partie visible de l’iceberg du hacking. Aujourd’hui les grandes organisations comme les petites et moyennes entreprises sont sous la menace de l’exploitation des vulnérabilités techniques inhérentes à tout système d’information.
Le traitement de ces problématiques impose une gestion des vulnérabilités efficace, adaptée au contexte de l’organisation et mise en oeuvre de façon transverse autour des trois piliers que sont le processus, la technologie et les individus :
- Processus
Le processus générique de gestion des vulnérabilités s’appuie notamment sur le modèle ITIL et s’intègre avec les autres processus IT existants. - L’aspect technologique implique :
- la mise en place d’un outil de scan permettant d’automatiser les activités de recherche et d’évaluation des vulnérabilités.
- une veille technologique afin d’être informé rapidement de l’existence de nouvelles vulnérabilités et des correctifs de sécurité associés.
- Individus
Souvent négligée, l’implication de tous les acteurs n’en est pas moins indispensable à une approche efficace des vulnérabilités.- Le management doit être informé de la valeur et de l’intérêt du programme afin d’allouer les ressources nécessaires à sa mise en oeuvre.
- Les directions métier et le département informatique doivent clairement identifier les impacts opérationnels, budgétaires et logistiques du programme (gestion des priorités, détection des coûts cachés, …).
Solutions
Les consultants de Mielabelo mettent en oeuvre ces solutions transverses impliquant processus, technologie et personnes.
Au quotidien, ils assurent :
- La formalisation de processus de gestion des vulnérabilités, adapté au contexte et aux besoins de l’organisation
- La sélection d’outils informatiques adaptés au contexte et aux réalités de l’organisation
- La mise en place de la gestion des vulnérabilités au sein des équipes et la gestion du changement inhérente à ce type de projet
- La mise en oeuvre d’initiatives transversales et complémentaires telles que la sensibilisation des personnes impliquées et l’intégration de la sécurité dans les projets informatiques