Andorra Turisme renforce la cybersécurité avec surveillance, formation et zero-trust

« Notre stratégie est claire : en parallèle d'un cycle d'amélioration continue des systèmes, des communications et de la formation des employés, nous travaillons sur la détection grâce à une surveillance constante pour pouvoir répondre aux incidents au fur et à mesure qu'ils surviennent », déclare Albert Rulló, responsable des systèmes d'information et de l'organisation à Andorra Turisme.

L'organisation simule des scénarios pour chaque incident potentiel, allant de réponses partielles exécutables sans perturber l'activité quotidienne à des mesures sévères impliquant un verrouillage total des systèmes et des communications. Des évaluations périodiques des risques numériques sont réalisées via des graphiques de surveillance, des validations aléatoires et des récupérations de sauvegardes. Des tests d'attaques contrôlées sont effectués régulièrement, en interne comme en externe.

L'e-mail est identifié comme le vecteur de risque principal en raison de son usage intensif dans les équipes et du volume de projets gérés via ce canal. Pour contrer les facteurs de risque humains, Andorra Turisme propose une formation obligatoire en cybersécurité en partenariat avec Win2Win, programmée conformément à l'Agence de protection des données. La formation utilise des exemples graphiques pour sensibiliser le personnel aux comportements quotidiens pouvant créer des vulnérabilités.

Les actifs numériques critiques sont identifiés en amont pour élaborer le plan de sécurité, une phase essentielle qui détermine la portée du plan et son impact en ressources. Les serveurs, postes de travail et communications sont surveillés activement, tandis que les appareils de type grand public présents dans l'organisation sont isolés dans une zone physiquement et logiquement séparée. L'organisation applique des mesures préventives et met en œuvre les principes zero-trust lorsque cela est pertinent.

Andorra Turisme dispose d'un cabinet de crise pour coordonner les réponses aux tentatives d'usurpation d'identité, aux hijackings ou fuites de données. Une fois un incident identifié, le cabinet décide des mesures correctives, du contenu des communications et de la coordination entre direction et services, dans l'objectif d'une réponse proportionnée.

Sur des technologies spécifiques comme les pare-feu, antivirus et outils de surveillance, Rulló a refusé de donner des détails pour éviter de révéler des vulnérabilités potentielles, mais a confirmé l'utilisation de solutions reconnues et leaders sur le marché. Les audits de sécurité sont réguliers : des spécialistes externes réalisent des pentests Black Box et White Box pour simuler des attaques avec ou sans informations préalables, permettant à l'organisation d'évaluer et de renforcer ses défenses.

Rulló insiste sur la nécessité d'un cycle d'examen continu des politiques, processus et outils. « On ne peut pas se contenter de concevoir un plan de cybersécurité : il faut l'évaluer en permanence et appliquer les mises à jour au fur et à mesure », dit-il. Un équipement obsolète, même encore fonctionnel, peut devenir dangereusement vulnérable une fois qu'il ne reçoit plus de mises à jour officielles du fabricant.

Enfin, Rulló note que le paysage de la cybersécurité évolue rapidement – y compris sous l'influence de l'intelligence artificielle, qui a transformé le domaine à la fois positivement et négativement – et que rester à jour est l'une des préoccupations principales et permanentes de l'organisation.