Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Communiquer le risque pour l'entreprise : pourquoi les métriques de cyber-sécurité existantes sont inefficaces

Comment parler à l'équipe dirigeante du contexte de risque pour l'entreprise dans lequel s'inscrit votre programme de cyber-sécurité  ? En tant que responsable cyber-sécurité, c'est une question que je me pose tous les jours.

Les responsables chargés de la sécurité et de la gestion des risques disposent d'un arsenal de cadres et de contrôles leur permettant de mesurer les aspects les plus granulaires de leurs programmes. Si ces métriques sont utiles pour aider à gérer les opérations quotidiennes de nos équipes, elles ne sont pas pertinentes pour communiquer avec nos dirigeants.

Lorsque vous interagissez avec la direction ou même le comité d'audit (qui est le plus souvent l'entité du conseil d'administration responsable de la sécurité), les dirigeants veulent comprendre quel est l'impact de votre programme de cyber-sécurité sur la capacité de l'entreprise à créer sa valeur essentielle. Pourtant, une étude mondiale réalisée par Forrester Consulting à la demande de Tenable et portant sur plus de 800 dirigeants et responsables cyber-sécurité révèle que 66 % des dirigeants n'ont, tout au plus, qu'une confiance limitée dans la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de sécurité de leur entreprise.

Cela ne veut pas dire que les responsables sécurité ne font pas du bon travail. Ce chiffre met plutôt en lumière une réalité incontournable : les méthodes actuelles de mesure du cyber-risque ne fournissent pas le contexte de l'activité dont les entreprises ont besoin. Plus de la moitié des responsables sécurité interrogés ne sont pas convaincus de disposer de la technologie ou des processus permettant de prédire les menaces de cyber-sécurité qui vont concerner leur entreprise, tandis qu'environ deux cinquièmes d'entre eux ne sont pas sûrs de disposer des données nécessaires.

Cesar Garza, RSSI chez Home Depot Mexique à San Pedro au Mexique, décrit les défis rencontrés en un mot : « conclusions ». Dans un entretien avec Tenable, M. Garza explique : « Pour nous, déterminer le niveau de cyber-risque n'est pas si compliqué. Nous avons des évaluations de maturité, des évaluations de vulnérabilités, des tests d'intrusion et toutes sortes d'audits et d'évaluations que nous envoyons [au siège social mondial]. Le plus compliqué est de savoir quoi faire de nos conclusions. La plupart de nos conclusions nécessitent des investissements, des dépenses d'exploitation pour l'éternité, une augmentation des effectifs ou des investissements dans de nouvelles technologies. »

Comment calculer le cyber-risque ?

Le cyber-risque est calculé en fonction des assets, des contrôles de sécurité, des menaces et des vulnérabilités qui existent à un instant donné. Si vous ne savez pas quels assets sont les plus critiques pour permettre à votre entreprise de créer sa valeur essentielle, vous ne pouvez pas comprendre quels cyber-risques représentent une menace réelle pour votre entreprise. Une fois que vous avez identifié vos assets les plus critiques, l'étape suivante consiste à comprendre quelles sont, parmi les dizaines de milliers de menaces et de vulnérabilités auxquelles votre entreprise est confrontée chaque année, celles qui représentent réellement le plus grand risque pour ces assets essentiels.

Selon l'étude Forrester, moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. La majorité des responsables sécurité interrogés (56 %) n'appliquent pas les objectifs de gestion des risques pour l'entreprise à leurs processus de priorisation des vulnérabilités. Seulement la moitié (51 %) affirment que leur département travaille en étroite collaboration avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Et seul un responsable sécurité sur quatre affirme qu'il passe régulièrement en revue les métriques de performance du département de sécurité avec les intervenants clés de l'entreprise.

L'étude rend également compte des constats suivants :

  • Plus de la moitié des responsables de la sécurité (56 %) affirment que leur entreprise manque de visibilité sur la sécurité de leurs assets les plus critiques.
  • Environ 60 % des personnes interrogées déclarent avoir une visibilité élevée ou complète sur les évaluations des risques pour les employés sur site, mais seulement 52 % peuvent en dire autant lorsque les employés sont en télétravail.
  • Seulement 51 % déclarent avoir une visibilité élevée ou complète sur les systèmes utilisés par les sous-traitants ou les partenaires et 55 % déclarent la même chose pour leurs fournisseurs tiers.

Vous ne pouvez pas calculer le cyber-risque sans le placer dans le contexte de l'entreprise

Deux des questions qui me sont les plus fréquemment posées par les dirigeants et le conseil d'administration sont les suivantes : « Notre entreprise est-elle vraiment sécurisée ? » et « Où se situe notre programme par rapport à celui des autres entreprises ? »

Mais, contrairement aux autres dirigeants de l'entreprise, les responsables sécurité ne disposent que de données objectives limitées sur lesquelles s'appuyer pour poser l'équation du cyber-risque mêlant assets, contrôles de sécurité, menaces et vulnérabilités, et répondre à ces deux questions. Il n'existe pour le moment aucun cadre qui couvre l'intégralité de nos opérations. Les responsables sécurité travaillent donc avec un méli-mélo d'indicateurs qu'ils s'efforcent d'exploiter au mieux. Sans une mesure objective du contexte de l'entreprise pour chacun de nos assets, nos calculs de cyber-risque ne peuvent pas nous mener très loin.

En effet, selon l'étude Forrester, moins de la moitié des responsables sécurité considèrent que les cadres sectoriels d'analyse comparative qu'ils utilisent sont très efficaces pour rendre compte avec précision du risque pour l'entreprise. Et plus de la moitié d'entre eux affirment que l'analyse comparative qu'ils appliquent à leurs contrôles de sécurité n'est pas efficace.

En même temps, la surface d'attaque de toute entreprise implique tellement de variables qu'établir des métriques de sécurité approuvées par l'ensemble du secteur semble être un projet utopique, tout du moins pour le moment. Aucune entreprise ne peut prétendre être sécurisée à 100 %. Nous ne disposons que d'un seul indicateur : un calcul éclairé de ce qui est considéré comme un niveau de risque acceptable, ce qui nous permet de prendre des décisions de gestion sur la marche à suivre une fois qu'un niveau d'exposition raisonnable est atteint.

Alors, comment pouvez-vous utiliser les outils à votre disposition pour commencer à combler le fossé entre la cyber-sécurité et l'entreprise ?

Il n'existe aucune solution universelle, mais nous pouvons étudier l'approche de LafargeHolcim IT EMEA à Madrid à titre d'exemple. « Nous évaluons notre taux de pénétration sur les différentes couches de protection déployées », explique Jose Maria Labernia Salvador, directeur de la sécurité IT et des contrôles internes, lors d'un entretien avec Tenable. « Cela aide l'entreprise à comprendre les expositions potentielles dans notre environnement et à déterminer son appétence au risque sur l'ensemble de la chaîne de valeur. Notre modèle est axé sur les KPI, et indépendant vis-à-vis des données et des segments, car vous ne savez jamais quel sera le vecteur d'attaque initial, avec la possibilité d'un mouvement latéral qui peut nuire à notre société. »

Utiliser les données dont vous disposez pour obtenir les résultats que vous souhaitez

Le risque est relatif, et non absolu. L'entreprise sera toujours exposée à des risques. La question est de savoir si des actions précises appliquées par l'entreprise ont réduit ou augmenté ces risques. Les options d'évaluation de la sécurité actuellement disponibles sur le marché vous donnent un point de départ pour votre programme de sécurité, qui vous permet d'identifier les améliorations futures à apporter.

Chez Home Depot Mexique, M. Garza se tourne vers Tenable.io, équipé de la technologie Lumin, pour obtenir une « visibilité en temps quasi réel sur notre niveau de Cyber Exposure. Nous pouvons prioriser les cyber-risques et centraliser toutes les informations dans une seule vue. » Il ajoute que l'entreprise est en train d'élaborer un dashboard de synthèse qui offrira une visibilité aux membres de l'équipe dirigeante.

Il n'existe pas d'approche universelle permettant d'identifier les indicateurs clés de risque qui importent le plus pour votre entreprise. Tout ce que nous pouvons faire, en tant que professionnels du secteur, c'est travailler ensemble pour créer les métriques de risque pour l'entreprise qui seront les plus utiles aux dirigeants.

Dans cette optique, je vais conclure en partageant les questions que les membres du conseil d'administration et de la direction m'ont posé tout au long de ma carrière :

  • Quels sont nos risques, fonctions et assets les plus critiques/où se trouvent-ils ?
    • Que faites-vous pour les protéger ?
  • Quel est le degré de maturité de notre programme par rapport au secteur et aux autres équipes en interne ?
    • Quelle est votre feuille de route pour améliorer notre maturité ?
  • L'effectif des équipes qui travaillent dans notre programme de sécurité est-il comparable à celui de nos concurrents ou d'autres entreprises du secteur ?
  • Nos fonctions les plus stratégiques sont-elles plus sûres aujourd'hui qu'il y a un an ?
  • Que faisons-nous concernant (insérer ici la dernière vulnérabilité qui fait les gros titres) ?

Peut-être vous donneront-elles des idées d'autres indicateurs de risque pour l'entreprise qui selon vous méritent d'être mesurés afin que nous puissions mettre en place tous ensemble des stratégies de cyber-sécurité encore mieux alignées sur les objectifs de l'entreprise.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

GRATUIT PENDANT 30 JOURS


Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

GRATUIT PENDANT 30 JOURS Bénéficiez d'un accès complet pour détecter et corriger les erreurs de configuration d'infrastructure cloud dans les phases de conception, build et exécution du cycle de vie du développement logiciel.

Acheter Tenable.cs

Contactez un commercial pour en savoir plus sur la sécurité dans le cloud et découvrir comment sécuriser chaque étape du code au cloud.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, NessusExpert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance