Les évaluations, pierre angulaire de la sécurité IT

Avec la transformation numérique, les entreprises voient leurs flux de données tant internes qu’externes s’intensifier. De même, de nouveaux flux apparaissent, ce qui étend considérablement la surface d’attaque, tandis que les points d’entrée se multiplient, offrant des opportunités supplémentaires aux cybercriminels. Or « les données sont le fondement grâce auquel les entreprises créent de la valeur et améliorent les interactions avec les utilisateurs, qu’il s’agisse des collaborateurs internes ou des clients et des partenaires », explique Thomas Le Clerc, B2B Product Manager Cybersecurity chez Orange. 

Face à ces nouvelles réalités liées au numérique, les entreprises se doivent de mettre en place de nouvelles infrastructures d’entreprise et d’élaborer des stratégies de cybersécurité adaptées et en constante évolution.  

De l’importance de l’évaluation

« La stratégie de sécurité IT repose sur trois piliers : la gouvernance, la gestion et les opérations », estime encore Thomas Le Clerc. « Chacun de ces trois piliers doit pouvoir être adapté en fonction de la planification stratégique de l’entreprise, de l’impact sur l’IT, du paysage des menaces et de l’évolution technologique. »

Face à ces réalités, les évaluations – ponctuelles ou récurrentes - jouent un rôle crucial dans la mesure où elles aident l’organisation à mieux maîtriser ses risques dans un environnement évolutif. « De telles évaluations permettent aux entreprises de maintenir une stratégie de cybersécurité à jour », ajoute Thomas Le Clerc. « Elles offrent par ailleurs aux décideurs pas toujours experts une vue d’ensemble indépendante de leur exposition aux risques cyber, leur permettant d’élaborer une stratégie basée sur ces risques. Les entreprises le font d’ailleurs aussi pour des raisons externes à leur organisation dans la mesure où de telles évaluations ou audits de sécurité font de plus en plus partie des conditions à remplir pour pouvoir collaborer avec d’autres partenaires commerciaux. »

Quels types d’évaluations ?

Orange propose essentiellement trois types d’évaluation, chacune ayant un but précis :

• Security maturity assessment : analyse de votre gouvernance et évaluation de votre niveau de maturité par rapport aux meilleures pratiques du secteur. Vous recevez ensuite des recommandations pour améliorer votre posture de sécurité.
• Penetration testing : identification et exploitation de vulnérabilités présentes dans vos systèmes de protection et de détection pour améliorer votre excellence opérationnelle et la résilience de votre organisation.
• Infrastructure assessment : cartographie de l’ensemble des actifs présents dans l’environnement et recommandations pour optimiser leur performance et leur niveau de sécurité.

Au-delà de ces trois approches, Orange propose encore d’autres types d’évaluation, notamment un risk impact assessment pour évaluer l’impact potentiel d’un risque identifié sur la continuité d’activité, de même qu’un scanning de vulnérabilité pour aider l’organisation à structurer des opérations de patching.

Bilan de santé

« Aujourd’hui, les entreprises belges font preuve de plus en plus de maturité à cet égard », analyse Thomas Le Clerc. « Elles ont pleinement conscience de l’importance de ces évaluations pour identifier leurs risques ainsi que pour pouvoir estimer leur impact et les prioritiser. »