La cybersécurité en pratique : par où commencer ? | Agoria

La cybersécurité en pratique : par où commencer ?

Image
Publié le 05/08/21 par Sarah Godard
Ces dix dernières années, de nombreuses nouvelles technologies ont vu le jour dans le secteur des soins de santé : la télémédecine, la pharmacie en ligne, les soins à domicile, etc. Ces technologies permettent de prodiguer des soins plus efficaces directement aux patients et offrent de nouvelles perspectives de traitement grâce aux données acquises.

Que vous développiez une application mobile qui guide les patients tout au long de leur traitement, un dispositif à porter sur soi qui contrôle les signes vitaux ou une nouvelle plateforme de gestion des patients, il est important de réaliser que les technologies intégrées à votre produit ont un impact direct sur les cybermenaces auxquelles il est exposé. Bien qu’il soit aisé de considérer la cybersécurité comme un obstacle à surmonter au cours des premières étapes du développement et de l'adoption de votre produit, cet aspect ne doit pas être négligé. Sans cela, il vous sera très difficile de réaliser et de maintenir une croissance future.

La cybersécurité, un atout pour la vente

La cybersécurité est une opportunité. Elle peut constituer un facteur de différenciation essentiel pour votre produit et lui conférer une valeur ajoutée significative aux yeux des consommateurs. Il faut savoir que les clients sont de plus en plus conscients de l'importance de la cybersécurité, en particulier lorsqu'il s'agit d'applications de soins de santé ayant un impact direct sur leur bien-être. Ils apprennent à poser les questions épineuses : le produit est-il sûr ? Peut-il être piraté ? A-t-il été testé ? Vais-je mourir si la sécurité est compromise ? Mes données médicales sont-elles sécurisées ?

Pour répondre à ces questions, il faut établir un climat de confiance. Il ne suffit pas de rédiger un simple article de blog abordant ces préoccupations. Même si c’est un bon début, la réponse réside en réalité dans un processus complexe consistant à cultiver la confiance envers une organisation et ses produits. Celui-ci implique un scénario solide et l’approbation de différents tiers reconnus. Il s’agit par ailleurs d'un processus continu, dans lequel la maturité d'une organisation en matière de cybersécurité est constamment mise à l’épreuve par des cyberincidents qui se profilent à l'horizon.

Une chose est sûre : si cette confiance est cultivée et maintenue sur une longue période, les consommateurs y seront sensibles et en tiendront compte dans leurs décisions d'achat. 

La cybersécurité : par où commencer ?

Si intégrer efficacement la cybersécurité au cœur de votre activité et de vos produits peut sembler être un défi colossal, sachez cependant que vous n'avez pas à réinventer la roue. Il existe de nombreux outils, cadres et systèmes de certification sur lesquels vous pouvez vous baser. 

Alors, par où commencer ? Sur le plan organisationnel, il est important d’aborder la cybersécurité étape par étape, dans le cadre d'un processus continu. Dans un premier temps, concentrez-vous sur la création d'une feuille de route tenant compte de la maturité actuelle de votre entreprise et de ses produits. Commencez par définir des actions à gains rapides que vous pouvez réaliser aujourd'hui, tout en préparant la voie pour vos ambitions futures. 

En ce qui concerne la sécurité des produits, l'Open Web Application Security Project (OWASP) fournit de nombreuses directives et exigences de sécurité pouvant vous servir de base. Par exemple, l'OWASP SAMM (Software Assurance Maturity Model) est un cadre de l'OWASP qui vous permet d'auto-évaluer, de formuler et de mettre en œuvre une stratégie de sécurité logicielle que vous pouvez ensuite intégrer dans votre cycle de développement logiciel (SDLC) existant. En outre, l’OWASP Internet of Things Security Verification Standard (ISVS) fournit des exigences de sécurité réalistes et applicables aux produits connectés et aux écosystèmes dans lesquels ils se trouvent. Ce dernier point gagne en importance avec l'avènement des produits physiques connectés.

Notez, par ailleurs, que la réglementation évolue également. Avec l'arrivée imminente de la directive NIS 2.0, les produits médicaux seront soumis à des règles de plus en plus strictes. Il est donc essentiel que vous conceviez les produits d'aujourd'hui en tenant compte de la sécurité, car demain, la barre pourrait être relevée. 

Contribution de Cédric Bassem, responsable de la sécurité IoT chez NVISO (https://www.nviso.eu/), spécialisé dans la sécurité des technologies de la santé et co-auteur du cadre OWASP ISVS. . 

Cet article était-il utile ?