Que sont les contrôles de sécurité ?

Compte tenu du nombre croissant de cyberattaques, la mise en place de contrôles de sécurité des données n’a jamais été aussi importante. Selon une étude de la Clark School de l’université du Maryland, une cyberattaque a lieu en moyenne toutes les 39 secondes aux États-Unis, un Américain sur trois étant ainsi touché chaque année. De plus, 43 % de ces attaques ciblent les petites entreprises. Selon le rapport 2025 sur le coût d’une violation de données, entre mars 2024 et février 2025, le coût moyen d’une violation de données aux États-Unis s’élève à 10,22 millions de dollars, un niveau record toutes régions confondues au cours des 20 années de publication de ce rapport.

Parallèlement, les réglementations pour la confidentialité des données se multiplient, ce qui oblige les entreprises à renforcer leurs politiques de protection des données sous peine d’amendes potentielles. Ainsi, l’Union européenne a énoncé des règles strictes dans son Règlement général sur la protection des données (RGPD). Aux États-Unis, la loi californienne sur la protection de la vie privée des consommateurs (« California Consumer Privacy Act ») est entrée en vigueur le 1er janvier 2020, et plusieurs autres États envisagent actuellement des mesures similaires. Ces règlements prévoient généralement des sanctions sévères pour les entreprises qui ne respectent pas les exigences définies. 

Plusieurs types de contrôles de sécurité peuvent protéger le matériel, les logiciels, les réseaux et les données des actions et des événements susceptibles de causer des pertes ou des dommages. En voici quelques exemples :

• Les contrôles de sécurité physique, qui comprennent l’installation de barrières autour des centres de données, les verrous, les protections, les cartes de contrôle d’accès, les systèmes de contrôle d’accès biométriques, les caméras de surveillance et les capteurs de détection d’intrusion.
  
  
• Les contrôles de sécurité numériques, qui incluent des mécanismes tels que les noms d’utilisateur et les mots de passe, l’authentification à deux facteurs, les logiciels antivirus et les pare-feu.
  
  
• Les contrôles de cybersécurité, qui concernent tout ce qui est spécifiquement conçu pour empêcher les cyberattaques, notamment les systèmes d’atténuation des attaques DDoS et de prévention des intrusions. 
  
  
• Les contrôles de sécurité du cloud, qui comprennent les mesures prises conjointement avec un fournisseur de services cloud pour assurer une protection adéquate des données et des workloads. Si votre entreprise exécute des workloads dans le cloud, vous devez respecter les exigences de sécurité de la politique d’entreprise ou organisationnelle du fournisseur et les réglementations du secteur.

Les systèmes de contrôles de sécurité, qui regroupent les processus et la documentation pour la mise en œuvre et la gestion continue de ces contrôles, s’appellent des cadres ou des normes.

Les cadres permettent à une entreprise de gérer de manière cohérente ses contrôles de sécurité pour différents types d’actifs selon une méthodologie acceptée et testée. Voici quelques-uns des cadres et des normes les plus connus :

En 2014, le National Institute of Standards and Technology (NIST) a créé un cadre à adhésion volontaire qui fournit aux entreprises des conseils sur la façon de prévenir, de détecter et de répondre aux cyberattaques. Les méthodes et les procédures d’évaluation déterminent si les contrôles de sécurité d’une entreprise sont bien mis en œuvre et fonctionnent correctement. Elles s’assurent que ces contrôles produisent le résultat souhaité tout en répondant aux exigences de sécurité de l’entreprise. Le cadre NIST est constamment mis à jour pour tenir compte des avancées dans la cybersécurité.

Le Center for Internet Security (CIS) a dressé une liste de mesures défensives hautement prioritaires qui constituent un point de départ incontournable pour toute entreprise cherchant à prévenir les cyberattaques. Selon le SANS Institute, qui a développé les contrôles CIS, ces derniers « sont efficaces car ils sont dérivés des modèles d’attaque les plus courants mis en évidence dans les principaux rapports sur les menaces et vérifiés par une vaste communauté de professionnels travaillant pour le gouvernement et les entreprises du secteur ».

Les entreprises peuvent se référer à ces cadres et à d’autres pour développer leurs propres cadre et politiques de sécurité informatique. Avec un cadre bien établi, les entreprises peuvent :

• Appliquer leurs politiques de sécurité informatique par le biais de contrôles de sécurité
• Sensibiliser leurs employés et utilisateurs aux consignes de sécurité
• Assurer leur conformité aux réglementations du secteur
• Assurer leur efficacité opérationnelle à travers les contrôles de sécurité
• Évaluer en permanence les risques et les gérer par le biais de contrôles de sécurité

Une solution de sécurité n’est jamais plus robuste que son maillon le plus faible. Par conséquent, vous devez envisager de mettre en place de multiples couches de contrôles de sécurité (stratégie de défense en profondeur) dans la gestion des identités et des accès, les données, les applications, l’infrastructure du réseau ou des serveurs, la sécurité physique et les informations sur la sécurité.

Une évaluation des contrôles de sécurité est la première étape pour identifier les vulnérabilités potentielles. Elle vous permet d’évaluer vos contrôles actuels et de déterminer s’ils sont bien mis en œuvre, s’ils fonctionnent correctement et s’ils répondent à vos exigences de sécurité.

La NIST Special Publication 800-53 sert de référence pour les évaluations des contrôles de sécurité. Les directives du NIST constituent une approche des bonnes pratiques qui, lorsqu’elles sont appliquées, peuvent contribuer à atténuer les risques de compromission de la sécurité de votre entreprise. Alternativement, votre entreprise peut aussi créer sa propre évaluation de la sécurité.

Voici quelques étapes clés que vous devez suivre pour créer une évaluation de sécurité :

• Déterminer les systèmes cibles : créez une liste d’adresses IP que vous devez analyser dans votre réseau. La liste doit contenir les adresses IP de tous les systèmes et les appareils connectés au réseau de votre entreprise.
  
  
• Déterminer les applications cibles : établissez la liste des applications et des services web que vous devez analyser. Déterminez le type de serveur d’applications web, de serveur web, de base de données, de composants tiers et de technologies utilisés pour créer les applications existantes.
  
  
• Analyse des vulnérabilités et production de rapports : tenez les équipes réseau et informatiques informées de toutes les activités d’évaluation, car une évaluation des vulnérabilités peut occasionnellement créer des pics de trafic réseau en surchargeant les serveurs cibles de requêtes. Obtenez également le passe-système non authentifié pour les adresses IP du scanner sur le réseau de l’entreprise et assurez-vous que les adresses IP figurent sur une liste blanche dans IPS/IDS. Dans le cas contraire, le scanner peut déclencher une alerte de trafic malveillant, ce qui entraîne le blocage de son adresse IP.

Découvrez-en plus sur la façon d’évaluer la vulnérabilité des applications et du réseau de votre entreprise en créant votre propre évaluation de la sécurité.