Peu après le classement sans suites de l’affaire du piratage de Ruag, la confédération Suisse a proposé un code de conduite contre les cyberattaques à destination des infrastructures sensibles, comme les producteurs d’énergie ou les transports publics. Selon l’OFAE (Office fédéral pour l’approvisionnement économique), « les exploitants d’infrastructures critiques sont invités à mettre en œuvre cette norme minimale ».
Présentée le 27 août 2018, cette norme minimale propose des directives organisationnelles et techniques pour améliorer la résilience face aux cyber-risques.
L’OFAE indique que la norme minimale « s’adresse aussi aux entreprises ou organisations intéressées qui recevront ainsi une aide bienvenue pour améliorer la résilience de leurs TIC ». Elle repose sur 106 mesures concrètes combinant plusieurs méthodologies (ISO 27001, NIST SP 800, COBIT 5, etc.) et est plus spécialement destinée aux exploitants d’infrastructures critiques en Suisse, mais toute entreprise peut l’appliquer.
Voici plusieurs contrôles qui sont particulièrement importants à mettre en œuvre :
Pour en apprendre davantage, veuillez consulter la norme en question ainsi que l’outil d’évaluation sur le site de l’OFAE :
En tant que spécialiste en cybersécurité depuis 1999, Hitachi Systems Security peut vous aider à vous conformer à ces directives grâce à nos services d’analyse de risques, de surveillance 24/7, d’audits techniques (tests de vulnérabilités, tests d’intrusion) et de cours de sensibilisation du personnel.
La sécurité est notre domaine d’expertise. C’est pourquoi nous sommes passionnés par les prestations de services de cybersécurité intégrés qui sécurisent votre activité. Nos services sont alignés sur vos objectifs généraux et démontrent également votre retour sur investissement.
Grace à notre expertise dans le domaine de la sécurité de l’information ainsi qu’en conformité, nous pouvons vous aider à devenir conforme à la norme minimale tout en respectant vos objectifs d’affaires et votre contexte organisationnel.
Conformez-vous à cette norme minimale pour améliorer la résilience informatique Obtenez les recommandations d’une tierce partie par rapport à votre posture de cybersécurité ainsi que votre niveau de risque Définissez un chemin clair dans la planification de votre stratégie de cybersécurité Renforcez vos objectifs d’affaires avec votre stratégie de sécurité Protégez votre organisation en tout temps et répondez aux incidents de sécurité Veillez à ce que des mesures appropriées soient en place pour protéger la confidentialité, l’intégrité et la disponibilité de vos informations et actifs critiques| Éléments d’une stratégie de défense en profondeur | |
|---|---|
| Programme de gestion des risques | • reconnaissance des risques pour la sécurité • profil de risques • gestion minutieuse (inventaire) des équipements TIC |
| Architecture de cybersécurité | • normes/recommandations • lignes directrices • mode opératoire |
| Sécurité physique | • protection des terminaux • surveillance des accès au centre de contrôle • vidéosurveillance, contrôle des accès et barrières |
| Architecture de réseau | • zones de sécurité standards • « zones démilitarisées » (DMZ) • réseaux locaux virtuels (LAN) |
| Périmètre de sécurité réseau | • pare-feu • accès à distance et authentification • serveurs hôtes/intermédiaires (jump servers/hosts) |
| Sécurité de l’hôte | • gestion des correctifs et des points faibles • terminaux • machines virtuelles |
| Surveillance de sécurité | • systèmes de détection d’intrusion • journaux (logs) des audits de sécurité • incidents de sécurité et contrôle des évènements |
| Gestion des fournisseurs | • gestion et contrôle de la chaîne fournisseurs • services d’infogérance (managed services) et externalisation • utilisation d’informatique en nuage (cloud) |
| Facteurs humains | • lignes directrices • mode opératoire • formation et sensibilisation |
Vous souhaitez obtenir un devis? Contactez-nous aujourd’hui et découvrez comment nos services de sécurité gérés 24/7 peuvent vous aider à protéger votre entreprise, à renforcer votre sécurité et à répondre aux exigences de conformité.
