Notre Blog

(cliquez sur l’image plus bas pour voir la vidéo)

Sous l’effet de l’accélération des échanges à travers le monde, le Coronavirus se propage très rapidement, touchant à grande échelle également l’Europe et la Suisse. Grâce au système de santé largement développé dans ces zones, on peut imaginer que la propagation du virus sera ralentie, mais, dans l’intervalle, les entreprises ont déjà commencé à souffrir de cette situation de pandémie. Les experts en macroéconomie prévoient une baisse du produit intérieur brut (PIB) dans la zone européenne en raison des impacts directs et indirects causés par le Coronavirus.

Continuité des Activités et Coronavirus

Même si le plan de continuité des activités (PCA) devrait naturellement être intégré dans une pratique business normale, la plupart du temps, seules les grandes entreprises l’ont mis en œuvre, laissant les petites et moyennes entreprises (PME) sans préparation pour de telles situations pandémiques. Selon les statistiques officielles de 2019 publiées par le gouvernement suisse, 99% de l’économique du pays repose sur les PME, ce qui rend la quasi-totalité des entreprises très vulnérables au Coronavirus.

Dans le contexte d’une telle crise pandémique, les PME devraient être préparées à faire face aux perturbations majeures liées à la disponibilité des ressources humaines, aux chaînes d’approvisionnement, à la demande du marché pour les produits et les services, aux voyages d’affaires, à la trésorerie et au cash-flow. L’absence de solutions préparées pour de tels scénarios peut avoir des conséquences majeures sur la survie des entreprises.

ACTAGIS fournit ci-après un guide utile pour un plan de pandémie que les PME peuvent appliquer afin de se préparer et de mettre en œuvre des mesures adéquates permettant leur continuité en cas de situation pandémique

Jeff Primus, CEO d’ACTAGIS, a été interviewé à ce sujet par CNN-Money le 26 février 2020 (cliquez pour la vidéo)

Plan de Continuité des Activités (PCA) en cas de Pandémie

Planification

• Définir et attribuer les responsabilités.
• Établir les canaux de communication avec les autorités et vos principaux fournisseurs.
• Identifier les principaux processus métiers qui permettent la réalisation de vos principaux produits et services.
• Fixer les critères et les seuils pour l’activation du PCA.

Analyser

• Identifier les risques, les vulnérabilités associées et les impacts s’appliquant à votre entreprise.
• Donner la priorité à vos processus clés sur lesquels l’entreprise concentrera ses efforts de continuité.

Mettre en œuvre, Former et Tester

• Élaborer des plans par étape, avec des activités détaillées et leurs parties prenantes, en tenant compte des impacts générés par les absences des employés, les exigences en matière de systèmes d’information et de cybersécurité, les conditions de télétravail, les perturbations de la chaîne d’approvisionnement, la variation des demandes du marché, les problèmes de déplacement, les contraintes financières, la chaîne de dépendances.
• Améliorer les plans en envisageant des solutions alternatives et une couverture d’assurance.
• Développer et mettre en œuvre le « Plan de reprise d’activité informatique » (IT-DRP).
• Établir des procédures pour le bien-être des employés et leur rapatriement de l’étranger.
• Organiser des sessions de sensibilisation et de formation.
• Construire des plans de communication interne et externe incluant également les situations d’urgence.
• Élaborer des politiques à appliquer à l’échelle de l’entreprise.
• Tester vos plans.

Réagir si votre entreprise est touchée par le Coronavirus

• Appliquer les conseils d’hygiène recommandés par les autorités sanitaires et les experts et fournir les installations et le matériel adéquats.
• Réduire les déplacements et les contacts en face à face avec les différents acteurs (fournisseurs, clients) situés dans différentes régions géographiques.
• Activer le plan de reprise d’activité dans le domaine des technologies de l’information en cas de catastrophe.
• Surveiller les symptômes du virus et activer le travail à domicile, le plan de télétravail afin de contenir la propagation de la pandémie.

Auteur : Jeff Primus : Fondateur, CEO & Senior Consultant, a plus de 25 ans d’expérience dans la gouvernance des systèmes d’information, la cybersécurité et la continuité des activités. Jeff, en tant qu’expert, met activement en œuvre des systèmes de gestion de la sécurité et de la continuité des activités conformes aux normes ISO 22301 et ISO 27001 pour le secteur public et les PMEs et les entreprises multinationales en Suisse, en Europe et au Moyen-Orient. En tant que maître de conférences, il enseigne les thèmes de la sécurité, de la gouvernance et de la continuité des activités à l’Université de Paris-Sorbonne, à l’Université de Genève et le HES-SO-Valais.

© 2020 Jeff Primus, ACTAGIS

(cliquez sur l’image plus bas pour voir la vidéo)

Dans le contexte de la pandémie de coronavirus, le télétravail est devenu la mesure la plus largement répandue pour permettre la continuité des activités dans un monde de plus en plus orienté vers le service. En conséquence, les entreprises ouvrent davantage de portes, de tunnels et de vulnérabilités pour permettre les flux d’informations entre les centre de calculs des entreprises et les télétravailleurs.

Pendant cette période difficile où les entreprises sont principalement concentrées sur leur survie et où la sécurité est considérée comme un sujet peu prioritaire, la fréquence des cyber-attaques exploitant diverses vulnérabilités augmente à un rythme exponentiel. Ces attaques, associées aux limites de capacité des infrastructures techniques nationales, régionales et mondiales, ébranlent sérieusement les fondements de la sécurité en termes de confidentialité, d’intégrité et de continuité des activités.

Plus que jamais, la convergence de la continuité des activités et de la sécurité de l’information devient un impératif à mettre en œuvre, afin de réduire les impacts financiers, opérationnels, juridiques et de réputation des cybermenaces.

Jeff Primus, CEO d’ACTAGIS, a été interviewé à ce sujet par la RTS le 27 mars 2020

Désireux de partager son expertise, ACTAGIS vous propose quelques recommandations clés en matière de sécurité pour le télétravail qui vous aideront à renforcer la continuité de vos activités.

1. Mettre en place une organisation de gestion de crise (un responsable et si possible une équipe) qui peut identifier, hiérarchiser et coordonner les actions nécessaires à la continuité des activités, y compris le plan de télétravail.

2. Identifier et se concentrer sur les processus clés les plus critiques de votre entreprise et leur allouer les ressources nécessaires (humaines, matérielles et financières).

3. Développer et mettre en œuvre le « Plan de Reprise d’Activité Informatique ».

4. Établir des politiques et des guides en matière de sécurité pour faciliter l’utilisation des solutions technologiques.

5. Donnez à vos télétravailleurs les moyens de se sensibiliser et de se former en ligne aux meilleures pratiques en matière de sécurité et de travail à domicile afin d’atténuer les cyber-risques liés aux videoconference-bombing, corona-phishing, Wi-Fi partagé. . .

6. Faciliter l’activation de connexions réseau à haute débit pour les locaux de l’entreprise et les travailleurs à distance.

7. Fournir une capacité suffisante et mettre en œuvre la sécurité adéquate pour votre système d’information (logiciels et matériel) qui peut s’étendre et supporter un nombre important de connexions & d’accès chiffré simultanés.

8. Fournir des ordinateurs portables d’entreprise sécurisés (cryptés, durcis, utilisant 2 facteurs d’authentification…) pour permettre un environnement de travail professionnel.

9. Encourager le partage d’écran à distance et la diffusion de vidéos en basse définition, permettant à votre personnel de se concentrer sur l’information essentielle sans saturer la capacité du réseau.

Contactez ACTAGIS pour des recommandations supplémentaires, des formations et des services de conseil.

Prenez soin de vous et de vos proches pendant cette période de pandémie
Jeff Primus

Auteur : Jeff Primus : Fondateur, CEO & Senior Consultant, a plus de 25 ans d’expérience dans la gouvernance des systèmes d’information, la cybersécurité et la continuité des activités. Jeff, en tant qu’expert, met activement en œuvre des systèmes de gestion de la sécurité et de la continuité des activités conformes aux normes ISO 22301 et ISO 27001 pour le secteur public et les PMEs et les entreprises multinationales en Suisse, en Europe et au Moyen-Orient. En tant que maître de conférences, il enseigne les thèmes de la sécurité, de la gouvernance et de la continuité des activités à l’Université de Paris-Sorbonne, à l’Université de Genève et le HES-SO-Valais.
© 2020 Jeff Primus, ACTAGIS

La «confiance» et la «sécurité» ne devraient jamais être considérées uniquement comme des options

Article publié dans le supplément « Protection » de la Tribune de Genève et du 24 Heures le 9 septembre 2020.

ISACA, l’Association internationale pour la gouvernance des systèmes d’information, soutient les entreprises dans la lutte contre les cyberattaques.
INTERVIEW SMA

Internet est un outil essentiel pour la plupart des entreprises. Malheureusement, il n’offre pas que des opportunités, mais crée également des vulnérabilités potentielles facilitant les cyberattaques, en particulier en- vers les petites et moyennes entreprises (PME). ISACA aide les entreprises à lutter contre cette tendance. Jeff Primus, expert en sécurité et membre du comité direc- teur du chapitre ISACA Suisse et Lead ISACA Suisse romande, nous en dit davantage à ce sujet.

Aujourd’hui personne ne conteste l’importance de la cybersécurité. Selon vous, Jeff Primus, que signifie exactement la notion de «cybersécurité» pour les PME?

Tout d’abord, nous devons examiner le contexte dans lequel évoluent actuellement les entreprises. Ampli- fiées par l’accélération des changements mondiaux, les cybermenaces se diffusent rapidement et ont un impact considérable dans le monde entier, avec un effet majeur sur la Suisse, plateforme clé d’échange d’information. Dans un tel contexte, les PME se doivent d’être prêtes à faire face à des perturbations majeures de leurs systèmes d’information résultant de cyberattaques. L’incapacité à activer les solutions pré- parées pour ce type de scénarios, susceptible d’affecter la livraison des produits et services, peut avoir des conséquences majeures sur la survie des entreprises. La discipline de «gouvernance de la cybersécurité» ne cesse donc de gagner en importance.

En quoi consiste la gouvernancede la cybersécurité?

Elle met l’accent sur la définition d’objectifs, de me- sures, de rôles et de responsabilités afin d’aider à proté- ger les systèmes d’information, de manière à maximiser leur valeur ajoutée tout en réduisant les risques. Par exemple, dans le contexte de la pandémie de corona- virus, le télétravail est devenu la pratique la plus lar- gement adoptée pour assurer la continuité des opéra- tions. Les entreprises ouvrent par conséquent plus de «portes» afin de permettre le flux d’informations entre le centre de données de l’entreprise et les employés en télétravail. Ces «portes» contribuent à une hausse de la fréquence des cyberattaques qui exploitent les vulnéra- bilités ainsi crées. Ces attaques, remettent en question les bases de la sécurité et de la vie privée en termes de confidentialité, de protection des données, d’intégrité et de continuité des opérations. La gouvernance de la cybersécurité apporte aux entreprises un ensemble d’outils permettant de gérer l’ensemble de ces aspects.

La gouvernance de la cybersécurité devient donc l’une des bases de la continuité des opérations. Quel rôle joue la protection des données?

Selon les statistiques officielles 2019 publiées par le gouvernement suisse, 99% du pouvoir économique est basé sur les PME, ce qui fait que la majorité des entre- prises sont vulnérables face aux cyberattaques. Dans le contexte de la pandémie, la convergence de la sécurité de l’information, de la protection des données et de la continuité des opérations devient un aspect incon- tournable pour réduire l’impact financier, opérationnel, juridique et réputationnel des cybermenaces. L’une des conditions essentielles pour la réussite d’une gouver- nance convergente consiste à appliquer des cadres et des certifications bien établis comme COBIT, ISO 27001,
etc. Le problème: l’implémentation de ces cadres peut s’avérer très exigeante en matière de main-d’œuvre et de coûts. Elle est à la portée des grandes entreprises, mais pas de la plupart des structures plus modestes.

La solution?

Elle repose sur une «approche d’implémentation lé- gère». En divisant des grands cadres en parties plus pe- tites et plus faciles à mettre en œuvre, les PME peuvent choisir un sous-ensemble de mesures qui répond le mieux à leurs besoins. Dans l’idéal, les entreprises de- vraient adopter la «sécurité» et la «protection des don- nées» dès la conception pour les inscrire dans l’ADN du système d’information. Cela signifie que ces deux facteurs essentiels devraient être pris en compte dès le début du développement des applications et de l’acqui- sition des infrastructures. Pourtant, une des plus graves erreurs commises par de nombreuses organisations consiste à mettre en place des concepts sans incorporer ces facteurs, qui ne sont ajoutés que plus tard, comme s’il s’agissait d’options.

L’application COVID du gouvernement a relancé le débat sur la question du partage des données des utilisateurs avec les organisations. Comment peut-on gagner la confiance des utilisateurs?

Suite à des événements comme le vol des données de Swisscom en 2018, les citoyens hésitent à faire confiance aux organisations, ce qui explique la néces- sité pour les entreprises de cultiver la «confiance dès la conception». Comment peuvent-elles y parvenir? En intégrant les mesures de sécurité et de protection de données tout au long du cycle de vie des applications. En appliquant ces pratiques, les applications comme SwissCovid seront plus largement adoptées. Le nou- veau cursus d’ISACA permet de se former à ce type d’implémentation: «Ingénieur certifié en solutions de protection des données».

Comment fonctionne ISACA et en quoi ses services sont-ils utiles aux entreprises?

Actif en Suisse depuis plus de 30 ans, ISACA est un ré- seau d’experts qui souhaitent se perfectionner dans des domaines comme la gouvernance & l’audit des systèmes d’information, la cybersécurité et la gestion des risques. D’un côté, ISACA promeut le partage de connaissances et, de l’autre, elle fournit des formations et des certi- fications approfondies. Ces dernières sont des outils précieux pour les professionnels qui souhaitent renfor- cer leur expertise technique et organisationnelle.

Comment votre entreprise, ACTAGIS, aide-t-elle ses clients à mettre en pratique les principes d’ISACA?

ACTAGIS, partenaire officiel et exclusif du chapitre suisse d’ISACA en Suisse romande, propose des
services de conseil et de formation. Actifs sur le marché depuis plus de 25 ans, dans la gouvernance des sys- tèmes d’information et des domaines de cybersécurité, les consultants d’ACTAGIS offrent leur expertise aux entreprises et aux organisations afin de créer plus de valeur en réduisant les risques et les dépenses.

Plus d’informations sur www.isaca.com et www.actagis.com