Les trois « P » pour un esprit tranquille

Mois de la cybersécurité, Octobre 2017

Le monde d’aujourd’hui est numérique. Même si vous ne faites pas affaire dans le domaine des technologies, votre entreprise est à risque. Les cybercriminels peuvent attaquer votre entreprise de plusieurs façons, des violations de vos données en passant par la prise en otage de vos renseignements par un rançongiciel.

Dans un tel contexte, comment pouvez-vous la protéger? Poursuivez votre lecture pour le découvrir.

Dans cette série, nous vous donnerons des conseils et des trucs afin de vous aider à atténuer les risques pour votre organisation, à assurer votre conformité et à demeurer à l’abri de telles menaces.

Conseil no 1 : Politiques, procédures et processus : savez-vous par où commencer?

Votre pire cauchemar vient de se produire, vous avez été attaqué. Que faire maintenant?

Au cœur de la crise, vous en aurez plein les bras; c’est pourquoi nous vous recommandons, pour atténuer la pression, de mettre en place des politiques, des procédures et des processus appropriés avant qu’un tel incident se produise.

Avant qu’une attaque ne survienne, passez en revue les politiques et les procédures de réponse en cas d’incidents informatiques de votre entreprise et veillez à ce que votre équipe connaisse les procédures (et les personnes responsables) en cas d’incident. On pourrait présumer que les membres de l’équipe connaissent leurs rôles et leurs responsabilités, mais même s’ils travaillent étroitement avec les systèmes ou les connaissent bien, cela ne signifie pas qu’ils savent ce qu’ils doivent faire en cas d’urgence.

Vous devez d’abord élaborer une politique de réponse aux incidents. Créez ensuite des processus et des procédures conformes à la politique afin de concevoir votre plan de réponse aux incidents.

Veillez à ce que ce plan :

1. présente clairement les rôles et les responsabilités définis;
2. soit communiqué aux membres touchés de l’équipe et aux parties intéressées;
3. comprenne des notifications et des mécanismes prêts à être utilisés;
4. prévoit des protocoles de réponse;
5. soit revu ou mis à jour au besoin (au moins tous les ans).

Il est également recommandé de procéder à un test annuel de votre plan afin de vérifier s’il est efficace et approprié. Mettre à jour votre plan vous permettra également de vous conformer à toute nouvelle exigence réglementaire qui pourrait avoir été publiée après la création de votre plan.

Nous recommandons également de retenir les services d’un conseiller expérimenté pour assurer l’objectivité dans le cadre de ce processus. Cette surveillance permettra de prendre les mesures nécessaires pour que toutes les parties intéressées participent au processus de planification et soient informées des changements.

Consultez également les articles suivants:

• Conseil no 2 Se doter de bons responsables
• Conseil no 3 Identifier et classer les données confidentielles
• Conseil no 4 Surveillez vos fournisseurs qui ont aussi accès à vos renseignements confidentiels
• Conseil no 5 Établir des partenariats avec des organisations qui pourraient vous prêter main-forte lors d’une crise
• Conseil no 6 Mettre en œuvre un programme de formation en matière de sensibilisation à la sécurité et à la protection des données