Alors que les récents exemples d’attaques informatiques nous prouvent une fois encore que ce sont les anciens systèmes, les anciennes configurations, qui sont les plus vulnérables et les plus ciblés, revenons à nouveau sur le cycle de vie des SI et le nécessaire maintien du niveau de sécurité.
Maintenez votre sécurité dans le temps
Le MCS, Maintient en condition de Sécurité : c’est quoi ?
L’objectif du MCS (Maintien en Condition de Sécurité) est de collecter, agréger et synthétiser les informations traitant des évolutions de la menace et des vulnérabilités. Il s’agit également de qualifier le risque dans le temps et, bien entendu, il faut accompagner le déploiement des correctifs de sécurité.
Le MCS est complémentaire du Maintien en Condition Opérationnelle (MCO)
Une bonne stratégie de MCS permettra la maîtrise des risques de sécurité tout au long de la vie du projet considéré et le maintien dans le temps du niveau de conformité avec les exigences de sécurité (celles initialement définies et leurs évolutions ainsi que les nouvelles).
Il faut également caractériser les niveaux de risques de sécurité adaptés aux besoins du système. Enfin, des indicateurs sont nécessaires au suivi et à la prise de décision le cas échéant.
Il est donc impératif que le MCS s’articule au mieux avec le reste, c’est-à-dire les Métiers, MCO, PLM…
Le MCS nécessite une expertise dans l’assistance au déploiement de correctifs de sécurité, dans l’assistance à l’application de mesures de sécurité, et dans le traitement des incidents de sécurité.
– Pouvoir valider la sécurité des évolutions fonctionnelles et analyser les risques induits.
– Savoir tester les procédures opérationnelles liées à la sécurité.
– Former et sensibiliser à la sécurité les intervenants du MCO.
Le MCS s’impose tout particulièrement aux systèmes interconnectés, à ceux dont la menace liée au contexte extérieur est forte et évolutive, et il faut donc maintenir un bon niveau de sécurité intrinsèque mais aussi cohérent avec l’environnement.
Le MCS, une organisation
A travers l’II901, on prend conscience de l’objectif de gestion dynamique des mesures de protection, tout au long de la vie du SI.
Il est exigé de mettre en œuvre la SSI au quotidien, notamment grâce à des procédures écrites définissant les actes élémentaires du maintien en condition de sécurité lors des phases de conception, d’évolution ou de retrait d’un système. On prend la conscience du lien avec les concepts de privacy by design et de security by default récemment mis sur le devant de la scène par le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais).
Accessoirement, dans le cadre d’interventions réalisées par des tiers, il est demandé que tout contrat d’hébergement détaille les dispositions prises pour assurer le maintien en condition de sécurité des systèmes et permettre une gestion de crise efficace (conditions d’accès aux journaux, mise en place d’astreinte…). Et oui, n’oubliez pas les prestations externalisées. Comme pour une filiale, tout ce qui sort de votre champ de vision doit être considéré comme une vulnérabilité potentielle.
Un rapport d’information de Commission de la Défense Nationale et des Forces Armées liste des pistes d’évolution.
L’enjeu est de faire coïncider les ressources humaines et financières avec les besoins opérationnels. La problématique est tout à fait similaire dans un contexte industriel. Rester attentif aux évolutions du maintien en condition de sécurité est ainsi une nécessité universelle.
Complémentaire du MCO, le MCS est une composante incontournable appelé à se développer plus encore car de plus en plus de systèmes sont interconnectés.
Cette interconnexion est susceptible d’être la cible d’attaques informatiques.
Le maintien d’un haut niveau de protection nécessite une augmentation de la fréquence des mises à jour des correctifs de sécurité.
Il est essentiel de s’assurer de la réalisation d’opérations de maintenance régulières.
Le MCS, une pierre à l’édifice
Gérer les données c’est structurer, stocker/archiver, décrire, retrouver, versionner, tracer, partager et bien sûr protéger.
La problématique de l’interopérabilité induit de plus en plus de mécanismes automatiques. Partager, convertir, corréler… A bien y réfléchir, tout cela est encore récent et nourrit de nombreux paradoxes. Par exemple, l’information associe des comportements égoïstes de protection et une nécessité de partage pour être valorisée.
Petit à petit, il faut que le MCS tisse sa toile sur tout le SI, mais il faut aussi qu’il entre en symbiose avec le PLM et le PDM.
Grossièrement, le Product Lifecycle Management (gestion du cycle de vie produit) offre une vision globale orientée sur les modifications et les évolutions qui vont impacter le produit.
Le Product Data Management (gestion des données produit) est une sous-partie dédiée à la gestion des données de la conception.
La sécurité doit être partout, être entretenue, maintenue au niveau adéquat.
Pour cela, il faut contrôler son niveau, connaître sa réalité par rapport à des référentiels adaptés. C’est à cette condition que la sécurité pourra être améliorée, optimisée… C’est à cette condition que la sécurité pourra être efficace.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
- Ransomware : Ennemi public N°1
- Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale
- Cybersécurité : comment évaluer sa cyber maturité !
- Cybersécurité : Techniques de cartographie Active Directory avec BloodHound
- Maintenez votre sécurité dans le temps
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Le futur de la cryptographie post-quantique
Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
Analyse Patch Tuesday Juin 2026
À la une de la chaîne Sécurité
- Le futur de la cryptographie post-quantique
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
- Analyse Patch Tuesday Juin 2026
