Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Rechercher Ressource - BlogRessource - WebinaireRessource - RapportRessource - Événementicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner
  • Twitter
  • Facebook
  • LinkedIn

Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?

Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?

La mauvaise nouvelle ? Il existe un fossé entre l'entreprise et la cyber-sécurité. La bonne nouvelle ? Opérer un alignement peut changer les choses.

Si vous avez un tant soit peu officié en tant que RSSI, CSO ou responsable cyber-sécurité, vous avez probablement eu affaire à un PDG, un membre du conseil ou un autre dirigeant qui vous demandait régulièrement « Notre entreprise est-elle vraiment sécurisée ? ». Et vous savez également que cette question n'est pas si simple qu'elle paraît.

Dans un contexte où les risques pour l'entreprise évoluent rapidement (pandémie, ralentissement économique et télétravail), les cyber-attaques et les menaces qui florissent dans le monde entier amplifient non seulement chaque risque, mais elles poussent également le conseil d'administration à s'intéresser de près à la cyber-sécurité. Pourtant, les équipes de sécurité en première ligne sont confrontées à bon nombre de difficultés qui les empêchent de fournir aux dirigeants une image claire de la posture de cyber-sécurité de l'entreprise.

Pour lever le voile sur les difficultés rencontrées par les responsables sécurité et les aider à entamer un dialogue constructif avec les autres dirigeants de l'entreprise, Tenable a demandé à Forrester Consulting de mener une enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants, et de réaliser une étude à partir des données obtenues pour cerner les stratégies et pratiques de cyber-sécurité des grandes et moyennes entreprises. L'étude résultante, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, met en lumière le fossé qui existe entre les attentes de l'entreprise et les réalités auxquelles sont confrontés les responsables sécurité. Mais elle met également au jour une nouvelle opportunité qui se présente aux entreprises digitales, à savoir hisser le rôle de RSSI au même niveau que les autres dirigeants.

L'avenir appartient au responsable cyber-sécurité aligné sur les objectifs de l'entreprise

L'étude distingue quatre thèmes principaux :

  • Dans un climat d'incertitude, les menaces de cyber-sécurité florissent et s'invitent à l'ordre du jour des conseils d'administration. La grande majorité des entreprises (94 %) ont connu au moins une cyber-attaque ou une compromission ayant des répercussions sur l'activité1 dans les 12 derniers mois. Près de deux tiers (65 %) déclarent que ces attaques touchaient notamment leurs assets OT (technologies opérationnelles).

  • Les dirigeants veulent obtenir une image claire de la posture de cyber-sécurité de leur entreprise, mais les responsables sécurité peinent à la leur fournir. Seuls quatre responsables sécurité sur dix déclarent pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

  • Il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. Seule la moitié des responsables sécurité (51 %) affirme que leur département de sécurité collabore avec les intervenants clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Seuls quatre responsables sécurité sur dix affirment passer régulièrement en revue les indicateurs de performance du département de sécurité avec les intervenants clés de l'entreprise.

  • La cyber-sécurité doit évoluer pour devenir une stratégie d’entreprise. Cela n'est pas possible tant que les responsables sécurité n'ont pas une meilleure visibilité de leur surface d'attaque. Un peu plus de la moitié des responsables sécurité déclarent que leur département de sécurité jouit d'une connaissance et d'une évaluation complètes de la surface d'attaque de leur entreprise, et moins de 50 % des départements de sécurité utilisent des indicateurs de menace d'ordre contextuel pour mesurer le cyber-risque de leur entreprise. Leur capacité à analyser les cyber-risques, et à prioriser et effectuer la remédiation en fonction de la criticité pour l'entreprise et du contexte des menaces est donc limitée.

Quand les responsables sécurité et les dirigeants se réfèrent aux mêmes données sur le risque encouru par l'entreprise, ils obtiennent des résultats positifs notables et mesurables. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise que ses homologues fonctionnant en vase clos. Chose encore plus manifeste dans le climat actuel où le ralentissement économique pousse les entreprises à réévaluer leurs dépenses : 85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.

Comme le faisait remarquer Dan Bowden, RSSI de Sentara Healthcare, lors d'un entretien avec Tenable l'année dernière : « Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. Si vous pouvez leur fournir des informations intéressantes sur l'exposition et identifier clairement les mesures à prendre, ils comprennent alors les données. Les membres du conseil veulent compter parmi ceux qui vous aident à résoudre le problème et à mieux gérer le risque. »

Afin d'opérer cet alignement, les RSSI et autres responsables de la sécurité et de la gestion des risques ont besoin du bon mélange de technologies, de données, de processus et de facteur humain. Par exemple, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement. L'étude indique également que, en matière d'automatisation des processus clés d'évaluation des vulnérabilités, les responsables sécurité alignés distancent leurs homologues en vase close à l'approche plus réactive, avec une différence de 49 à 66 %.

1L'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

Pour en savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

Essayer gratuitement Acheter dès maintenant
Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24, 7 j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.