DSI : Ces bonnes pratiques à appliquer pour répondre aux enjeux du numérique
La sphère du numérique et de la sécurité informatique évolue à un rythme effréné, avec des innovations et de nouveaux défis qui transforment la façon dont les entreprises opèrent. Essor de l’Intelligence Artificielle, nouvelles directives Européennes, cyberattaques de plus en plus sophistiquées… Les innovations comme les nouvelles menaces engendrent leur lot de défis pour les managers du numérique, en particulier pour les DSI. De la priorité d’instaurer une protection efficace contre les cyberattaques, aux enjeux de conformité réglementaire, en passant par la problématique écologique, nous faisons le point sur 5 priorités stratégiques des DSI pour les mois à venir.
Cybersécurité : la protection des données au cœur des préoccupations des entreprises
L’un des enjeux primordiaux pour les DSI est sans conteste la sécurité des données. Les cyberattaques sont devenues plus sophistiquées et plus fréquentes que jamais. Preuve en est, en 2022, 83 % des organisations impactées par des cyberattaques ont été victimes plus d’une fois d’un vol de données (enquête annuelle Ponemone Institute, sponsorisée par IBM).
Face à cette épée de Damoclès qui pèse au-dessus des organisations, les DSI doivent rester constamment vigilants pour protéger les informations sensibles de l’entreprise, les données clients ou encore les opérations internes. Pour contrer la menace, l’utilisation de pares-feux robustes et la mise en place d’une stratégie de gestion des accès (IAM) sont des éléments clefs, qui renforcent la posture de sécurité d’une organisation.
Côté détection des incidents, les managers du numérique doivent investir dans des technologies de pointe telles que des systèmes de détection d’intrusion (IDS), qui surveillent le réseau en permanence afin d’identifier les risques.
Les solutions d’analyse comportementale basées sur l’IA comme Darktrace permettent également d’identifier les événements qui sont en dehors des paramètres des normes quotidiennes, et qui peuvent donc représenter un danger pour la sécurité du SI.
Au-delà des technologies, la formation et la sensibilisation du personnel sont des éléments cruciaux de la stratégie de sécurité. En effet, les employés sont souvent la première ligne de défense contre les menaces.
Résilience numérique : se préparer en cas d’interruption d’activité
Parmi les conséquences d’une cyberattaque réussie, on trouve l’interruption totale ou partielle d’activité pendant une période indéterminée. Or une fois l’entreprise mise à l’arrêt, les répercussions sont nombreuses : pertes financières, atteinte à l’image, risques légaux liés au non-respect des engagements contractuels de la société… Lorsque l’on sait que 59 % des cyberattaques provoquent un ralentissement voire un arrêt de la production, une indisponibilité du site Internet, ou encore des retards de livraison, des mesures de reprises d’activité s’imposent (source Senat.fr – Rapport d’information n°678).
La résilience numérique, c’est la capacité d’une organisation à se protéger, s’adapter et se rétablir rapidement face à des incidents comme des perturbations ou des attaques externes. En pratique, il s’agit de protéger ses données et maintenir ses activités, même en cas de cyberattaque réussie.
Pour plus de résilience numérique, des bonnes pratiques existent. La première étape consiste à effectuer une revue de tous les actifs connectés utilisés dans l’entreprise (appareils BYOD et COPE*, utilisateurs, applications…). Il s’agira ensuite de les classer, du plus ou moins critique, pour ajuster le niveau de surveillance et les mesures à mettre en place pour protéger chacun de ces actifs.
S’en suit l’élaboration d’un PCA (Plan de continuité d’activité), à déployer en cas de cyberattaque réussie. Ce PCA doit contenir des procédures détaillées pour détecter, et signaler tout incident de sécurité, tout en protégeant le SI des compromissions.
Complémentaire, le PRA (Plan de Reprise d’Activité) permet aux utilisateurs du SI de retrouver l’accès aux données, aux applications, au réseau de l’entreprise et à internet après un incident de sécurité. Il recense l’ensemble des mesures que l’entreprise doit prendre afin de limiter les conséquences d’une attaque, et d’anticiper la mise en place de solutions en cas d’interruption de travail.
Conformité réglementaire : préparer le déploiement d NIS2
Avec l’évolution constante des réglementations, la conformité devient un défi permanent. En octobre 2024, NIS2 entrera d’ailleurs en vigueur pour les entreprises des pays membres de l’Union Européenne. Cette directive élargit le périmètre de NIS1**, et vise à améliorer la résilience et les capacités de réaction aux incidents de cybersécurité, ainsi que l’aptitude des États membres à communiquer entre eux dans ce contexte.
Parmi ses nombreuses obligations, NIS2 inclut l’analyse des risques encourus et la prise en compte des cybermenaces, à travers un audit rigoureux. Côté opérationnel, la DSI devra entre autres utiliser des mécanismes cryptographiques pour chiffrer les informations et ainsi mieux les protéger. Les solutions d’authentification à plusieurs facteurs devront également être privilégiées pour plus de sécurité.
En cas de non-respect d’une de ces mesures, NIS2 prévoit une amende pouvant aller de 7 à 10 millions d’euros, ou représentant entre 1,4% à 2% du CA mondial total de l’entreprise.
A un an de l’entrée en vigueur de la directive, les DSI doivent d’ores et déjà se préparer au NIS2, ce qui permettra aux organisations de gagner un temps précieux et d’intégrer les nouvelles exigences en minimisant les frictions. Mettre en place une solution de surveillance en temps réel (EDR / XDR), est par exemple un bon premier pas vers la conformité. Pareillement, miser sur le déploiement progressif du second facteur d’authentification sur certains actifs critiques, évitera une transition trop brutale et le possible contournement des bonnes pratiques par les collaborateurs.
Ecologie numérique : vers des technologies plus responsables
La préoccupation mondiale concernant l’impact du domaine numérique sur la planète est indéniable. Il n’est plus possible de dissocier les outils de travail de leur incidence sur l’environnement, notamment à l’heure où les data centers représentent une part importante de l’empreinte carbone numérique (14% en France selon Greenly). L’éclosion de datacenters green, plus respectueux de l’environnement, est plus attendue que jamais, et les entreprises comme leurs prestataires cloud doivent s’emparer de ce sujet.
Afin d’adopter une consommation IT plus responsable, les entreprises peuvent miser sur la réutilisation et la réparation du matériel actuel plutôt que de racheter des équipements numériques. Des réflexes verts sont également de rigueur, comme la gestion responsable des déchets électroniques.
Pour tous les collaborateurs, la consommation d’énergie limitée passe par des gestes simples à appliquer quotidiennement :
- Eviter de laisser les appareils en veille
- Limiter le nombre d’onglets ouverts lors de recherches internet
- Désactiver les fonctions énergivores comme le Bluetooth sur les appareils du quotidien
- Minimiser les mails en interne
… sont autant de petites pratiques qui contribuent à diminuer l’empreinte Carbonne d’une organisation.
Pour les managers du numérique, une réflexion plus profonde sur les outils de travail choisis peut aussi contribuer à une consommation plus verte. Pour rappel, près de 70% des applications achetées par une entreprise sont sous-utilisées (source academie-nr.org).
Gestion des talents : attirer et retenir les experts du numérique
À l’heure où les entreprises font face à une guerre des talents sans précédent, recruter et retenir des experts du numérique est un défi constant. La demande croissante de professionnels de la cybersécurité, par exemple, rend la concurrence entre les entreprises féroce.
Pour prospérer dans cet environnement concurrentiel, les organisations doivent adopter une approche stratégique pour attirer les meilleurs talents du secteur numérique.
Tout d’abord, il est impératif de créer une culture d’entreprise dynamique et innovante, axée sur la collaboration. Offrir des opportunités de développement professionnel et des projets stimulants est également essentiel pour attirer les experts du numérique en quête de défis. Au même titre, les avantages et les conditions de travail équilibrées sont des facteurs cruciaux, car ils démontrent l’engagement envers le bien-être des employés.
Enfin, les services DSI doivent impérativement rester à la pointe des tendances technologiques, créant ainsi un environnement qui attire naturellement les experts du numérique.
La protection des données, la résilience numérique, la conformité réglementaire, l’écologie numérique et la gestion des talents sont des défis qu’il convient de relever haut la main pour répondre aux nouveaux enjeux du numérique. En s’attaquant de front à chacun de ces chantiers, les DSI peuvent non seulement protéger leur entreprise, mais aussi l’aider à prospérer dans une ère numérique en perpétuelle mutation.
La protection des données, la résilience numérique, la conformité réglementaire, l’écologie numérique et la gestion des talents sont des défis qu’il convient de relever haut la main pour répondre aux nouveaux enjeux du numérique. En s’attaquant de front à chacun de ces chantiers, les DSI peuvent non seulement protéger leur entreprise, mais aussi l’aider à prospérer dans une ère numérique en perpétuelle mutation.
Vous souhaitez, vous aussi, construire votre performance numérique aux cotés de spécialistes de l’IT
* Le COPE est une démarche dans laquelle une organisation fournit à ses équipes des terminaux mobiles et leur permet de les utiliser comme s’il s’agissait d’appareils personnels.
** Entrée en vigueur en 2016, NIS1 est la première directive européenne qui vise à renforcer et harmoniser la cybersécurité des entreprises sur le territoire européen.