“Norme minimale pour les TIC” de la confédération, utile aux PME ?

Le 27 août 2018, la confédération a publié une “Norme minimale pour améliorer la résilience informatique”. Cette démarche est un progrès notable dans le rôle que prend l’état pour accompagner les acteurs du monde économique dans l’amélioration de leur sécurité dans un monde de plus en plus digitalisé. Néanmoins si la norme fournie semble avant tout utile pour les grandes entreprises et infrastructures critiques, elle reste difficilement accessible pour les PME qui restent encore sur le bord de la route en matière de cybersécurité.

L’objectif premier de ce document est de donner aux sociétés et infrastructures critiques au niveau national un cadre de travail dans lequel elles devraient s’inscrire pour commencer un processus de compréhension et de maîtrise des différents aspects liés à l’utilisation des TIC (Technologies de l’Information et Communication). C’est louable et il me semble pertinent de cibler ce type d’organisations, puisque tant en termes de cibles potentiels dans le cadre d’une cyber-guerre qu’en termes de notions de priorité du risque, ce sont bien ces éléments qui doivent être sécurisés en priorité au niveau national.

Un résultat peu pratique
Néanmoins ce document se contente, dans sa substance, de compiler des normes et cadres de travail existants (notamment ISO, NIST,...) pour en extraire les éléments essentiels. Le défaut majeur de cette base est qu’il s’agit d’un cadre de travail normalisé qui assiste une organisation dans la mise en place d’un processus de travail pour améliorer sa sécurité, mais ne lui donne pas les moyens pour y parvenir, ni ne garantit que le résultat corresponde à un niveau de risque acceptable. Par exemple les normes de la série ISO 27000 permettent à l’entreprise certifiée de choisir quelle partie de ses activités doit être considérée dans l’évaluation et quelle politique doit être appliquée lors du traitement de ses données. Ainsi, il lui est possible d’obtenir une certification tout en négligeant certains aspects stratégiques de ses cyber-risques, voir en étant totalement irresponsable.

Et les PME ?
Mais ce qui nous semble encore plus important est l’accès à une méthode d’évaluation pour les PME. En effet elles sont très nombreuses et représentent la majeure partie du tissu économique suisse (plus de 70% des emplois). Dans presque tous les cas ces sociétés ne sont pas dotées en interne d’une personne responsable de la sécurité informatique. Ainsi la réalisation du point 1.5.2 de la norme de la confédération (“Un organisme chargé de la sécurité informatique au sens large doit être créé dans l’entreprise.[...]”) est déjà problématique à mettre en oeuvre. Une grande société aura à coeur de dégager les ressources nécessaires pour effectuer ce travail, mais pour une PME, de tels investissement sont souvent inenvisageables (engagement d’un spécialiste, sous-traitance à une société de conseil, etc.). C’est d’autant plus problématique que l’outil proposé par la confédération ne permet pas en soi de diminuer les cyberrisques, mais offre uniquement une auto-évaluation et qu’il est encore nécessaire d’investir dans des mesures de correction.

Nous pouvons légitimement nous demander si les résultats d’une démarche aussi lourde que celle proposée ne sont pas des concessions aux sociétés auditées. Et ce d’autant plus que les auteurs du document (PwC, SAP, Symantec, Microsoft, IBM et ATOS) sont des multinationales qui travaillent avant tout avec des gros clients et ne sont probablement pas intéressées par les petits mandats que représentent les PME. Nous pouvons aussi nous interroger sur la pertinence d’une étude menée par des groupes dont aucun n’a de siège en Suisse et dont la stratégie globale n’est probablement pas calquée sur les spécificités de la composition économique particulière de la Suisse.

Sur le terrain
Nous sommes amenés au quotidien à conseiller des PMEs et notre conseil est souvent d’éviter d’entamer une telle procédure sans en avoir considéré tous les aspects ni évaluer le coût total. Nous avons été très régulièrement confrontés aux mêmes problèmes et aux mêmes faiblesses dans les PME et il apparaît qu’une certaine quantité de bonnes pratiques faciles et peu coûteuses à mettre en oeuvre suffisent à réduire drastiquement le niveau du cyber-risque dans la majorité des cas. La problématique se réduit souvent au choix de la prochaine action, mais le nombre de bonnes pratiques est nettement trop élevé pour qu’un dirigeant de PME puisse facilement identifier quel sera l’effet de chacune de ses pratiques sur le niveau de cybersécurité de son organisation.

C’est pourquoi nous militons activement pour la création d’un organisme indépendant et neutre qui mette à disposition des PMEs des outils adaptés à leurs besoins à un coût abordable tout en leur permettant de communiquer et de rendre visible leurs efforts entrepris en vue d’atteindre un niveau de sécurité acceptable pour leur société.

source: https://www.bwl.admin.ch/bwl/fr/home/themen/ikt/ikt_minimalstandard.html

Pas de commentaire.

Ajouter un commentaire

Vous devez être Connecté pour poster un commentaire.