Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

5 étapes pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise

D'après une étude indépendante sur le risque pour l'entreprise, les responsables sécurité et les dirigeants qui s'accordent sur les données contextuelles à utiliser obtiennent des résultats tangibles. Voici comment y parvenir.

Quelque chose cloche dans les processus de cyber-sécurité. Nous, les responsables sécurité, sommes submergés de données. Nous pouvons vous dire combien de vulnérabilités sont présentes. Nous pouvons vous indiquer combien de correctifs nous avons déployés. Nous savons tout ce qu'il faut savoir sur les dernières menaces. Pourtant, malgré toutes ces informations à notre disposition, la majorité d'entre nous avons du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? » en toute confiance.

Pourquoi ? Parce qu'il nous manque une information essentielle : le contexte de l'entreprise.

L'équation type que nous utilisons pour calculer le niveau de sécurité ou de vulnérabilité d'une entreprise mêle assets, contrôles de sécurité, menaces et vulnérabilités. Sans contexte de l'entreprise (sans comprendre quels assets sont les plus critiques pour permettre à l'entreprise de créer sa valeur essentielle et quels contrôles de sécurité sont appliqués pour chacun de ces assets), les résultats de tout calcul de risque de sécurité sont, au mieux, incomplets.

Mais les responsables sécurité ne peuvent pas comprendre le contexte de l'entreprise en travaillant en vase clos. Il faut atteindre un certain niveau d'alignement stratégique entre l'entreprise et la cyber-sécurité qui fait défaut dans la plupart des sociétés. En effet, une étude réalisée par Forrester Consulting à la demande de Tenable montre qu'il existe un fossé important entre l'entreprise et les équipes de sécurité. Selon l'étude, qui repose sur une enquête menée auprès de 416 responsables sécurité et 425 dirigeants, seuls 54 % des responsables sécurité et 42 % des dirigeants interrogés affirment que leurs stratégies de cyber-sécurité sont parfaitement ou étroitement alignées sur les objectifs de l'entreprise. Moins de la moitié des responsables sécurité interrogés déclarent consulter très fréquemment les dirigeants lorsqu'ils développent leur stratégie de cyber-sécurité. Pire encore, quatre dirigeants sur dix consultent rarement (voire jamais) les responsables sécurité lorsqu'ils développent les stratégies de l'entreprise.

« Le plus grand défi est peut-être de faire en sorte que les chefs d'entreprise s'intéressent et comprennent que ce sont eux qui doivent assumer les risques de cyber-sécurité », a déclaré Jose Maria Labernia Salvador, responsable de la sécurité IT et des contrôles internes chez LafargeHolcim IT EMEA à Madrid, lors d'un entretien avec Tenable. « La cyber-sécurité est un sujet qui relève de l'entreprise, même s'il est très orienté IT. Le service IT peut apporter assistance et conseils, mais les interlocuteurs des différentes fonctions de l'entreprise et les cadres dirigeants ont aussi un rôle très important à jouer. »

L'étude Forrester montre que lorsque la sécurité est alignée sur les objectifs de l'entreprise, les résultats obtenus sont remarquables. Par exemple, les responsables sécurité alignés sur les objectifs de l'entreprise :

  • Sont préparés à rendre compte du niveau de sécurité et de risque. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise.
  • Sont prêts à démontrer le retour sur investissement de leurs initiatives de sécurité. La grande majorité des responsables sécurité alignés sur les objectifs de l'entreprise (85 %) ont défini des métriques pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.
  • Ont un processus d'analyse comparative défini. Près de neuf responsables sécurité alignés sur les objectifs de l'entreprise sur dix (86 %) ont un processus qui articule clairement les attentes et démontre une amélioration continue du processus par rapport aux autres entreprises et/ou groupes internes. Seuls 32 % de leurs homologues non alignés peuvent en dire autant.

Cela ne veut pas dire que l'initiative d'alignement repose entièrement sur les épaules du responsable sécurité. Certaines entreprises sont culturellement prédisposées à créer des environnements cloisonnés. Quels que soient les efforts investis, si vous travaillez pour l'une de ces entreprises, vous aurez toujours du mal à vous aligner sur les interlocuteurs clés.

Si vous n'êtes pas sûr de la position de votre entreprise en matière d'alignement, il y a un moyen rapide de le savoir : si l'entreprise a créé un poste de BISO (Business Information Security Officer), votre entreprise se situe à l'extrémité la plus mature de l'échelle de l'alignement. Selon l'étude Forrester, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement.

Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Si vous avez la chance de travailler pour une entreprise où l'alignement est déjà bien avancé, la voie à suivre pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise sera assez claire, même si elle vous demandera des efforts considérables. Mais si vous travaillez pour une entreprise encore peu mature dans ce domaine, la tâche sera encore plus ardue pour vous. Comme il n'existe pas d'approche unique, j'ai décliné les lignes directrices suivantes en trois versions, en fonction du niveau de maturité de votre alignement, dans l'espoir que l'une de ces options constituera un point de départ pertinent pour vous.

Cinq étapes pour améliorer l'alignement sur les objectifs de l'entreprise à chaque niveau de maturité

Étape Alignement faible Alignement moyen Alignement avancé
Étape 1 : Assurez-vous que vous comprenez les objectifs de votre entreprise pour l'année. Vous devrez très probablement faire vos propres recherches, en consultant des documents disponibles au grand public, tels que les prévisions de bénéfices et les états financiers, afin de vous faire une idée assez précise des priorités de l'entreprise. Cette étape nécessitera éventuellement que vous participiez à des appels avec des vice-présidents, que vous rejoigniez des réunions transversales et que vous cherchiez d'autres moyens pour être au contact du reste de l'entreprise. Vous avez déjà obtenu ou devez vous efforcer d'obtenir un siège aux réunions hebdomadaires tenues par les cadres dirigeants et vous êtes régulièrement invité à faire des présentations devant le conseil d'administration. Ces activités vous permettent de vous familiariser avec les principaux objectifs de l'entreprise.
Étape 2 : Réfléchissez à la façon dont ces objectifs influencent les décisions technologiques. Vous devrez éventuellement vous appuyer sur les relations avec vos collègues de toute l'entreprise pour avoir une meilleure idée des systèmes et assets les plus critiques. Faites notamment attention aux pannes et aux incidents qui se sont déjà produits pour repérer les zones perçues comme importantes. Vous devrez éventuellement organiser des appels avec les vice-présidents ou d'autres dirigeants pour comprendre quels sont les systèmes les plus importants. Vous pouvez effectuer une évaluation de l'impact sur l'entreprise en interrogeant les principaux dirigeants afin de bien comprendre quels sont les systèmes les plus essentiels au fonctionnement quotidien de l'entreprise.
Étape 3 : Collaborez avec les interlocuteurs clés de l'entreprise pour vous assurer que les métriques de cyber-sécurité tiennent compte du contexte de l'entreprise. Vous devrez éventuellement utiliser des sources externes, par exemple vous rendre à des événements sectoriels, lire des études de cas ou participer à des groupes de networking, pour avoir une vue d'ensemble des besoins d'entreprise courants et des principales métriques de sécurité, et pour identifier lesquels fonctionnent pour votre entreprise. Vous n'êtes peut-être pas en relation directe avec des dirigeants qui peuvent vous aider à définir le contexte de l'entreprise. Vous devez établir des liens avec des directeurs ou des responsables et consulter vos homologues du secteur pour comprendre quelles sont les métriques les plus pertinentes pour votre entreprise. Cette étape consiste autant à savoir quelles sont les bonnes questions à poser qu'à identifier un petit nombre de métriques les plus significatives pour votre entreprise.
Étape 4 : Priorisez vos processus de cyber-sécurité en fonction des enseignements que vous avez tirés des étapes ci-dessus. Commencez par évaluer les lacunes de votre processus (comme le manque de données sur la criticité des assets) et élaborer une feuille de route définissant comment combler chaque lacune au fil du temps. Vous pouvez commencer par intégrer les données sur la criticité des assets aux données de menace et de vulnérabilité pour passer à une approche davantage basée sur le risque. Utilisez l'automatisation et appliquez les objectifs de gestion des risques pour l'entreprise aux pratiques de priorisation des menaces et des vulnérabilités en utilisant une approche prédictive.
Étape 5 : Communiquez en utilisant des points de référence qui ont du sens pour les dirigeants. Envisagez de collaborer avec des conseillers externes pour vous aider à apprendre le vocabulaire de la gestion d'entreprise. Ce faisant, vous renforcerez sans doute l'estime de vos dirigeants envers votre évaluation des risques, mais aussi de l'entreprise elle-même. Vous devrez éventuellement vous fier à votre sens de l'observation ; soyez attentif au langage utilisé par vos collègues dirigeants et adaptez le vôtre en conséquence. Même dans une entreprise très alignée, la subjectivité des cadres existants et l'absence de consensus sectoriel sur les indicateurs clés de risque peuvent compliquer les choses. Néanmoins, si vous avez déjà atteint un degré élevé d'alignement, les membres de l'équipe dirigeante apprécieront probablement que vous leur disiez franchement quels indicateurs sont nécessaires, et lesquels ne le sont pas, dans vos rapports.

Source : Tenable, septembre 2020

Quelle que soit la position de votre entreprise dans le spectre alignement/maturité, il est dans votre intérêt de suivre les conseils de Kevin Kerr, RSSI de l'Oak Ridge National Laboratory à Oak Ridge, dans le Tennessee. Lors d'un entretien avec Tenable, M. Kerr offrait les conseils suivants : « Les RSSI doivent sortir de leur bureau et aller au contact, parler aux employés, quel que soit leur niveau hiérarchique, leur demander quels sont leurs objectifs et préoccupations, comprendre ce qui se passe. Ne parlez pas seulement aux employés du service IT, car leur point de vue est biaisé. Allez voir ce qu'il se passe dans les différentes fonctions de l'entreprise et écoutez ce que leurs acteurs ont à dire ». Bien entendu, dans le cadre de la pandémie de COVID-19, vous devrez peut-être aller au contact des employés de manière virtuelle. Mais que vous leur parliez en face à face ou via Zoom, cette initiative aura un impact positif sur votre entreprise et votre carrière. « Vous vous ferez connaître », explique M. Kerr. « Si les employés savent que votre but est de les aider à trouver le meilleur moyen de faire leur travail tout en protégeant l'entreprise, ils vous accueilleront à bras ouverts. Ils ne diront jamais non à l'innovation. »

Devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise est un marathon, pas un sprint. Vous devez apprendre à manier le vocabulaire de la gestion d'entreprise aussi bien que le jargon technique. Mais, comme le note l'étude Forrester, « les menaces de sécurité modernes exigent une nouvelle approche ». L'avenir appartient aux responsables sécurité qui sont prêts à gérer la cyber-sécurité comme un risque pour l'entreprise.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

Bénéficiez d'un accès complet aux fonctionnalités permettant de détecter et de corriger les mauvaises configurations de l’infrastructure cloud et de visualiser les vulnérabilités en runtime. Inscrivez-vous dès maintenant pour commencer votre évaluation gratuite.

Contactez un commercial pour acheter Tenable.cs

Contactez un commercial pour en savoir plus sur Tenable.cs Cloud Security. Vous découvrirez avec quelle facilité et rapidité vous pourrez intégrer vos comptes cloud et obtenir une visibilité accrue sur vos mauvaises configurations et vos vulnérabilités dans le cloud en quelques minutes.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance