Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?

La mauvaise nouvelle ? Il existe un fossé entre l'entreprise et la cyber-sécurité. La bonne nouvelle ? Opérer un alignement peut changer les choses.

Si vous avez un tant soit peu officié en tant que RSSI, CSO ou responsable cyber-sécurité, vous avez probablement eu affaire à un PDG, un membre du conseil ou un autre dirigeant qui vous demandait régulièrement « Notre entreprise est-elle vraiment sécurisée ? ». Et vous savez également que cette question n'est pas si simple qu'elle paraît.

Dans un contexte où les risques pour l'entreprise évoluent rapidement (pandémie, ralentissement économique et télétravail), les cyber-attaques et les menaces qui florissent dans le monde entier amplifient non seulement chaque risque, mais elles poussent également le conseil d'administration à s'intéresser de près à la cyber-sécurité. Pourtant, les équipes de sécurité en première ligne sont confrontées à bon nombre de difficultés qui les empêchent de fournir aux dirigeants une image claire de la posture de cyber-sécurité de l'entreprise.

Pour lever le voile sur les difficultés rencontrées par les responsables sécurité et les aider à entamer un dialogue constructif avec les autres dirigeants de l'entreprise, Tenable a demandé à Forrester Consulting de mener une enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants, et de réaliser une étude à partir des données obtenues pour cerner les stratégies et pratiques de cyber-sécurité des grandes et moyennes entreprises. L'étude résultante, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, met en lumière le fossé qui existe entre les attentes de l'entreprise et les réalités auxquelles sont confrontés les responsables sécurité. Mais elle met également au jour une nouvelle opportunité qui se présente aux entreprises digitales, à savoir hisser le rôle de RSSI au même niveau que les autres dirigeants.

L'avenir appartient au responsable cyber-sécurité aligné sur les objectifs de l'entreprise

L'étude distingue quatre thèmes principaux :

  • Dans un climat d'incertitude, les menaces de cyber-sécurité florissent et s'invitent à l'ordre du jour des conseils d'administration. La grande majorité des entreprises (94 %) ont connu au moins une cyber-attaque ou une compromission ayant des répercussions sur l'activité1 dans les 12 derniers mois. Près de deux tiers (65 %) déclarent que ces attaques touchaient notamment leurs assets OT (technologies opérationnelles).

  • Les dirigeants veulent obtenir une image claire de la posture de cyber-sécurité de leur entreprise, mais les responsables sécurité peinent à la leur fournir. Seuls quatre responsables sécurité sur dix déclarent pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

  • Il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. Seule la moitié des responsables sécurité (51 %) affirme que leur département de sécurité collabore avec les intervenants clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Seuls quatre responsables sécurité sur dix affirment passer régulièrement en revue les indicateurs de performance du département de sécurité avec les intervenants clés de l'entreprise.

  • La cyber-sécurité doit évoluer pour devenir une stratégie d’entreprise. Cela n'est pas possible tant que les responsables sécurité n'ont pas une meilleure visibilité de leur surface d'attaque. Un peu plus de la moitié des responsables sécurité déclarent que leur département de sécurité jouit d'une connaissance et d'une évaluation complètes de la surface d'attaque de leur entreprise, et moins de 50 % des départements de sécurité utilisent des indicateurs de menace d'ordre contextuel pour mesurer le cyber-risque de leur entreprise. Leur capacité à analyser les cyber-risques, et à prioriser et effectuer la remédiation en fonction de la criticité pour l'entreprise et du contexte des menaces est donc limitée.

Quand les responsables sécurité et les dirigeants se réfèrent aux mêmes données sur le risque encouru par l'entreprise, ils obtiennent des résultats positifs notables et mesurables. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise que ses homologues fonctionnant en vase clos. Chose encore plus manifeste dans le climat actuel où le ralentissement économique pousse les entreprises à réévaluer leurs dépenses : 85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.

Comme le faisait remarquer Dan Bowden, RSSI de Sentara Healthcare, lors d'un entretien avec Tenable l'année dernière : « Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. Si vous pouvez leur fournir des informations intéressantes sur l'exposition et identifier clairement les mesures à prendre, ils comprennent alors les données. Les membres du conseil veulent compter parmi ceux qui vous aident à résoudre le problème et à mieux gérer le risque. »

Afin d'opérer cet alignement, les RSSI et autres responsables de la sécurité et de la gestion des risques ont besoin du bon mélange de technologies, de données, de processus et de facteur humain. Par exemple, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement. L'étude indique également que, en matière d'automatisation des processus clés d'évaluation des vulnérabilités, les responsables sécurité alignés distancent leurs homologues en vase close à l'approche plus réactive, avec une différence de 49 à 66 %.

Au cours des semaines à venir, nous allons explorer ce phénomène ainsi que d'autres enseignements tirés de l'étude dans une série d'articles de blog. Dans le prochain article, nous nous intéresserons aux nombreuses difficultés auxquelles sont confrontés les responsables sécurité quand il s'agit de répondre à la question « Notre entreprise est-elle vraiment sécurisée ? ». Les articles à venir porteront sur les stratégies de réponse au COVID-19 et les défis liés à la recherche et à l'implémentation des technologies, des données et des processus appropriés pour votre entreprise. Nous allons également aborder les éléments caractéristiques d'une pratique de cyber-sécurité alignée sur les objectifs de l'entreprise, ainsi que les étapes à suivre pour la mettre en place dans votre société. Nous fournirons également des conseils et des recommandations pour vous aider à devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

1L'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.

Pour en savoir plus

Publications connexes

Abonnez-vous au blog Tenable

S'abonner
Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io

GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Acheter Tenable.io

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

2 275,00 $

Acheter maintenant

Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24h/24 et 7j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

En savoir plus sur la sécurité industrielle

Obtenir une démo de Tenable.sc

Veuillez renseigner le formulaire ci-dessous et un représentant vous contactera sous peu pour organiser une démo. Vous pouvez également inclure un bref commentaire (limité à 255 caractères). Notez que les champs marqués d'un astérisque (*) sont obligatoires.

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Demander une démo de Tenable.ot

Bénéficiez de la sécurité OT dont vous avez besoin
et réduisez le risque.