Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?

La mauvaise nouvelle ? Il existe un fossé entre l'entreprise et la cyber-sécurité. La bonne nouvelle ? Opérer un alignement peut changer les choses.

Si vous avez un tant soit peu officié en tant que RSSI, CSO ou responsable cyber-sécurité, vous avez probablement eu affaire à un PDG, un membre du conseil ou un autre dirigeant qui vous demandait régulièrement « Notre entreprise est-elle vraiment sécurisée ? ». Et vous savez également que cette question n'est pas si simple qu'elle paraît.

Dans un contexte où les risques pour l'entreprise évoluent rapidement (pandémie, ralentissement économique et télétravail), les cyber-attaques et les menaces qui florissent dans le monde entier amplifient non seulement chaque risque, mais elles poussent également le conseil d'administration à s'intéresser de près à la cyber-sécurité. Pourtant, les équipes de sécurité en première ligne sont confrontées à bon nombre de difficultés qui les empêchent de fournir aux dirigeants une image claire de la posture de cyber-sécurité de l'entreprise.

Pour lever le voile sur les difficultés rencontrées par les responsables sécurité et les aider à entamer un dialogue constructif avec les autres dirigeants de l'entreprise, Tenable a demandé à Forrester Consulting de mener une enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants, et de réaliser une étude à partir des données obtenues pour cerner les stratégies et pratiques de cyber-sécurité des grandes et moyennes entreprises. L'étude résultante, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, met en lumière le fossé qui existe entre les attentes de l'entreprise et les réalités auxquelles sont confrontés les responsables sécurité. Mais elle met également au jour une nouvelle opportunité qui se présente aux entreprises digitales, à savoir hisser le rôle de RSSI au même niveau que les autres dirigeants.

L'avenir appartient au responsable cyber-sécurité aligné sur les objectifs de l'entreprise

L'étude distingue quatre thèmes principaux :

• Dans un climat d'incertitude, les menaces de cyber-sécurité florissent et s'invitent à l'ordre du jour des conseils d'administration. La grande majorité des entreprises (94 %) ont connu au moins une cyber-attaque ou une compromission ayant des répercussions sur l'activité¹ dans les 12 derniers mois. Près de deux tiers (65 %) déclarent que ces attaques touchaient notamment leurs assets OT (technologies opérationnelles).

• Les dirigeants veulent obtenir une image claire de la posture de cyber-sécurité de leur entreprise, mais les responsables sécurité peinent à la leur fournir. Seuls quatre responsables sécurité sur dix déclarent pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

• Il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. Seule la moitié des responsables sécurité (51 %) affirme que leur département de sécurité collabore avec les intervenants clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Seuls quatre responsables sécurité sur dix affirment passer régulièrement en revue les indicateurs de performance du département de sécurité avec les intervenants clés de l'entreprise.

• La cyber-sécurité doit évoluer pour devenir une stratégie d’entreprise. Cela n'est pas possible tant que les responsables sécurité n'ont pas une meilleure visibilité de leur surface d'attaque. Un peu plus de la moitié des responsables sécurité déclarent que leur département de sécurité jouit d'une connaissance et d'une évaluation complètes de la surface d'attaque de leur entreprise, et moins de 50 % des départements de sécurité utilisent des indicateurs de menace d'ordre contextuel pour mesurer le cyber-risque de leur entreprise. Leur capacité à analyser les cyber-risques, et à prioriser et effectuer la remédiation en fonction de la criticité pour l'entreprise et du contexte des menaces est donc limitée.

Quand les responsables sécurité et les dirigeants se réfèrent aux mêmes données sur le risque encouru par l'entreprise, ils obtiennent des résultats positifs notables et mesurables. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise que ses homologues fonctionnant en vase clos. Chose encore plus manifeste dans le climat actuel où le ralentissement économique pousse les entreprises à réévaluer leurs dépenses : 85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.

Comme le faisait remarquer Dan Bowden, RSSI de Sentara Healthcare, lors d'un entretien avec Tenable l'année dernière : « Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. Si vous pouvez leur fournir des informations intéressantes sur l'exposition et identifier clairement les mesures à prendre, ils comprennent alors les données. Les membres du conseil veulent compter parmi ceux qui vous aident à résoudre le problème et à mieux gérer le risque. »

Afin d'opérer cet alignement, les RSSI et autres responsables de la sécurité et de la gestion des risques ont besoin du bon mélange de technologies, de données, de processus et de facteur humain. Par exemple, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement. L'étude indique également que, en matière d'automatisation des processus clés d'évaluation des vulnérabilités, les responsables sécurité alignés distancent leurs homologues en vase close à l'approche plus réactive, avec une différence de 49 à 66 %.

¹L'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

Pour en savoir plus

• Découvrez d'autres conclusions de l'étude
• Pour plus d'informations, rendez-vous sur notre page web
• Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise
• Découvrez ici les efforts engagés par Sentara Healthcare pour amorcer des discussions plus productives avec l'équipe dirigeante et le conseil d'administration