Quels sont les piliers de la cybersécurité ?

Posté par
Cécile G.
Le
15 Jul
.
2025
Copier l’URL de l’article

Nous vous parlons constamment de l’importance de la cybersécurité pour votre entreprise.
Nous savons que ce sujet est vaste et renferme énormément de sujets adjacents dont certains assez techniques.

Pour pouvoir vous donner plus d’informations sur cette thématique, nous avons choisi de reprendre les bases. Quels sont les piliers fondateurs de la cybersécurité pour les entreprises ?

Pour répondre à cette question, nous nous sommes appuyés sur l’expertise de sites référents en matière de prévention et gestion des risques cyber comme l’ANSSI et la CNIL.

Le premier pilier de la cybersécurité : la gouvernance

Selon l’ANSSI, “la gouvernance du risque numérique a pour objectifs d’anticiper la menace, de suivre le niveau de sécurité et de renforcer en continu un dispositif adapté.”

La gouvernance consiste à la fois en une forme de gestion prévisionnelle et une démarche d’amélioration continue des dispositifs en place.

Cette gestion s’exprime au travers de 3 dimensions principales :

1.  la sécurité des infrastructures de l’entreprise,
2. la prise en compte des facteurs humain et organisationnel,
3. la surveillance des SI grâce à des systèmes adaptés.

Attardons-nous sur chacune de ces dimensions pour en comprendre les enjeux.

1. La sécurité des infrastructures

La CNIL préconise certains choix pour augmenter la sécurité globale des infrastructures d’une entreprise, à savoir :

- l’intégration du protocole TLS (Transport Layer Security) pour garantir une bonne sécurité sur leur site web,

- la limitation des comptes génériques et une adaptation des droits,

- la limitation dans l’acceptation des cookies tiers, non nécessaires à une navigation optimale en ligne.

2. La prise en compte des facteurs humain et organisationnel

Dans le domaine de la cybersécurité, l’erreur humaine représente plus de la moitié des sources de cyberattaques.

Il est essentiel de s’assurer que la conscience des risques cyber est suffisante pour pouvoir ensuite mettre en place les dispositifs adaptés.

Dans l’ordre, il faut donc :

a) sensibiliser aux risques cyber en fonction des tendances relevées par les autorités compétentes (ANSSI, CNIL, malveillance.gouv.fr, etc.) de manière générale mais aussi en fonction du secteur d’activité et de l’organisation de l’entreprise,

b) organiser des formations pour maintenir la conscience aux évolutions des techniques de piratage et consacrer un espace et un temps nécessaire pour expliquer en détail les mécanismes à l’œuvre dans ces attaques,

c) élaborer des protocoles de conduite à tenir, segmentés étape par étape, à suivre pour les cas d’attaques les plus généraux lorsque c’est possible afin d’aiguiller les collaborateurs et gagner un temps précieux dans l’identification et la gestion d’une potentielle fuite de données,

d) intégrer un.e référent.e de la cybersécurité comme chef de projet, permettant la coordination et le suivi des actions précédemment listées. Si l’entreprise gère des données sensibles, il sera judicieux d’intégrer un expert cybersécurité afin de renforcer la sécurité.

3. La surveillance des SI grâce à des systèmes adaptés

Si l'idée semble évidente, son déploiement opérationnel l'est moins.

Le monitoring des SI nécessite des ressources informatiques et logicielles couvrant la totalités des infrastructures pour permettre une prévention rigoureuse du danger.

C'est la responsabilité du département IT de réaliser l'audit des infrastructures et des besoins en la matière.

Bien qu'un projet de grande ampleur, ses retombées pour l'intégrité de l'environnement sont indiscutables.

Le deuxième pilier de la cybersécurité : la protection

La protection en cybersécurité résulte souvent de l’application du plus grand principe de précaution.

Pour rappel, le principe de précaution se définit comme “la prise de mesure de gestion des risques pour prévenir des dommages potentiels graves et ce, en l’absence, à un moment donné, de certitudes, à cause d’un manque de connaissances techniques, scientifiques ou économiques”.

Le point d’origine de la précaution est toujours le même : un ou plusieurs risques contre lesquels se prémunir.

Dans le cas de la cybersécurité en entreprise, le risque majeur le plus souvent identifié est celui de la fuite de données sensibles par l’accès aux infrastructures.

Mieux identifiés sont les risques auxquels fait face votre organisation, plus efficace sera la protection que vous pourrez déployer.

Cette protection pourra orienter vos prises de décision de gouvernance pour les 3 dimensions citées ci-dessus.

L’objectif de la protection est de réduire les possibilités et la surface d’attaque de vos systèmes.

Pour ce faire, le renforcement des politiques suivantes vous aidera :
-sécurité de votre architecture SI,
-sécurité de l’administration SI,
-protection des données,
-gestion des identités et des accès (identification, authentification et contrôles d’accès).

Le troisième pilier de la cybersécurité : la défense

La défense repose sur une capacité cruciale, la détection.

Il est impératif d’allouer des ressources pour pouvoir surveiller l’activité des SI et être capable de percevoir toute irrégularité rapidement.

Une fois perçue, il faut aussi être en mesure d’identifier la nature de l’irrégularité pour savoir le plus rapidement possible les prochaines étapes à suivre.

Pour ce faire, la mise en place d’une supervision de la sécurité avec un SOC (Security Operation Center, soit un centre dédié aux opérations de sécurité) est idéale.

La quatrième pilier de la cybersécurité : la gestion post-attaque

Dans la continuité immédiate du pilier précédent, l’efficacité et la rapidité avec lesquelles votre entreprise sera en mesure de gérer un incident de sécurité pourra constituer une limitation de grande ampleur des dégâts causés.

Toutes les décisions prises en respectant le principe de précaution, la stratégie d’équipement des infrastructures, l’avancée de conscience des risques et des bons réflexes à adopter en cas d’attaque et les outils de détection et d’identification des menaces vont avoir un impact sur ce pilier.
Tous ces éléments vont influer sur le temps qu’il vous faudra mobiliser entre le moment de l’attaque et votre réponse adaptée.

Plus transparent et intégré seront chacun de ces éléments, plus court sera votre délai de réponse à la crise et la mise en place de votre plan de gestion concret.
Vous aurez de plus grandes chances de minimiser les conséquences néfastes et d’isoler les systèmes piratés.

Enfin, et c’est un point essentiel pour assurer la bonne évolution de votre cybersécurité : la gestion post-attaque ne s’achève pas lorsque la crise est résolue.

Au-delà des conséquences coûteuses que provoquent les brèches de cybersécurité, elles constituent toujours des cas pratiques à étudier pour comprendre la localisation des faiblesses existantes dans les systèmes ou les protocoles.

Il est instructif de consacrer un temps à cette étude pour savoir comment le problème s’est manifesté pour pouvoir l’éviter à l’avenir et renforcer au passage d’autres points de vulnérabilités qui auront alors été mis en lumière.

La cybersécurité, un cycle d’amélioration

Vous l’avez compris, il n’existe pas de fin définie à la cybersécurité. C’est une discipline qui, à l’instar d’une sentinelle, doit toujours être présente pour assurer les arrières de vos actifs professionnels.

S’il n’y a pas de solution miracle pour gérer efficacement les dimensions couvertes par les 4 piliers, il y a des outils qui simplifient certaines tâches pour faciliter un quotidien plus sécurisé. Parmi ces outils, vous trouverez des logiciels de gestion des accès et des identités comme MIA.

IAM / GIA
Tech

En cliquant sur « Accepter », vous acceptez le stockage de cookies sur votre appareil pour améliorer la navigation sur le site, analyser l'utilisation du site et nous aider dans nos efforts de marketing. Consultez nos mentions légales pour plus d’informations.

Préférences
deny icon
Refuser
allow icon
Accepter
Un blog by
Accueil
Actus
Gestion des coûts
Cybersécurité
Centralisation
Contactez-nous
pour en savoir plus
©2025 MIA
Mentions légalesPolitique de confidentialitéLinkedin