IT-Fit-Gap Analyser

Celles-ci peuvent notamment mettre hors ligne votre site Internet ou encore affecter l’ensemble du réseau. Outre les préjudices financiers, des informations confidentielles tombent parfois entre de mauvaises mains, ce qui a de graves conséquences: la perte de données, les pannes de systèmes, les prétentions en responsabilité civile en raison d’une violation de la protection des données ou d’une atteinte à la réputation en sont quelques exemples. Pour pénétrer dans les systèmes informatiques, les malfaiteurs tentent d’inciter les collaboratrices et collaborateurs à agir contre leur volonté réelle en les invitant par exemple à ouvrir une pièce jointe à un e-mail, à cliquer sur un lien, à fournir des données personnelles telles que des mots de passe ou à effectuer un paiement.

Les mesures techniques apportent une contribution essentielle à la garantie de la sécurité de l’information. Ces mesures techniques nécessitent toutefois être complétées par des mesures organisationnelles. En particulier dans le cas de mesures onéreuses et/ou nécessitant beaucoup de personnel, chaque entreprise doit peser le pour et le contre entre les coûts de ces mesures et les risques encourus en cas de non-application de ces mesures. Les mesures non mises en œuvre entraînent des risques résiduels. C’est pourquoi la direction doit décider d’assumer ces risques résiduels ou de mettre à disposition des ressources afin de les réduire davantage. Bien que les risques techniques des systèmes informatiques représentent une part importante de la sécurité de l’information, l’entreprise ne devrait pas se focaliser sur cette partie des risques, ni même désigner le service informatique comme seul porteur de risques. La responsabilité de la gestion des risques, la classification et le classement[A1]  des informations ainsi que, le cas échéant, une charge de travail échelonnée pour les mesures de sécurité mises à disposition sont des tâches clés de la direction.

Avec le présent contrôle, nous vous aidons à déterminer si vos mesures de protection contre les cyberattaques sont suffisantes ou si votre organisation et/ou votre infrastructure informatique nécessitent des adaptations.

Nous attirons votre attention sur le fait que le contrôle IT Fit Gap ne livre pas de conclusions définitives sur votre sécurité informatique, mais qu’il s’agit plutôt d’une analyse des tendances qui vous renseigne sur les lacunes ou les risques potentiels. Les recommandations et conseils qui en résulte         nt n’engagent aucunement la responsabilité de l’ESA et ne constituent pas une garantie pour votre sécurité informatique.

Il ne nous reste plus qu’à vous souhaiter de tirer les bonnes conclusions en répondant aux questions suivantes.

Votre ESA Cyber Security