Comment améliorer votre prise de décision en matière de cyber-sécurité afin de réduire les risques pour l'entreprise

Améliorez l'efficacité de votre programme en identifiant les métriques qui offrent le bon contexte pour faciliter la prise de décision au niveau de la direction, de la stratégie et de la tactique de votre entreprise.

Les défis auxquels les équipes de sécurité font face ne cessent d'augmenter avec des environnements en constante évolution et des attaquants tirant parti de la vitesse et de l'évolutivité des environnements IT modernes. Le rythme et la complexité de ces changements ouvrent une nouvelle ère dans l'évolution des équipes de sécurité de l'information. Aujourd'hui, les équipes de sécurité doivent aussi devenir des experts en gestion des risques. Que votre équipe soit composée d'une ou de plusieurs personnes, vous devez prendre des décisions à plusieurs niveaux de votre entreprise pour limiter plus efficacement le risque. 

Dans notre dernier livre blanc, 3 niveaux de stratégie de sécurité en termes de décisions relatives aux risques pour l'entreprise, nous nous penchons sur les trois niveaux de stratégies de prise de décision que les équipes de sécurité doivent utiliser : 

• Au niveau de la direction

• Au niveau stratégique 

• Au niveau tactique 


Le processus de prise de décision à chacun de ces niveaux comporte de nombreuses nuances et peut s'avérer complexe. Ici, nous allons vous montrer quelques exemples des types de décisions requises à chaque niveau et comment les bons outils et métriques peuvent vous aider à améliorer la prise de décision aux trois niveaux afin d'améliorer l'efficacité de votre programme de sécurité. 

Décisions au niveau de la direction

Au niveau de la direction, les responsables sécurité gèrent deux sous-domaines différents d'aide à la prise de décision. Ils doivent transmettre des informations et des métriques sur la sécurité de l'entreprise et la posture de risque à leurs interlocuteurs de l'équipe dirigeante, ainsi que pour leurs propres décisions au niveau de la direction afin de fournir une orientation et un soutien à leur équipe de sécurité. 

Pour aider la direction, les responsables sécurité demandent généralement à leurs équipes de sécurité une grande diversité d'informations destinées à mieux guider les décisions métier, en matière de chiffre d'affaires et de responsabilité qui affectent l'ensemble de l'entreprise. Pour améliorer la prise de décision à ce niveau, les métriques fournies par l'équipe de sécurité doivent être basées sur le risque et encadrées de manière à s'aligner sur les moteurs d'activité de l'entreprise.

Par exemple, les chefs d'entreprise ont besoin d'informations de sécurité communiquées dans le contexte plus large des objectifs de l'entreprise. Regarder le nombre brut de malwares bloqués par les logiciels de protection des terminaux ou le nombre total de vulnérabilités corrigées ce mois-ci n'aura donc que peu de valeur pour eux. Ces chiffres représentent un volume total sans aucun contexte d'entreprise. Au lieu de cela, les responsables sécurité peuvent examiner les pourcentages de vulnérabilités présentant un risque critique découvertes et éliminées dans le délai établi des accords SLA, ou la tendance de réduction des risques ventilée par fonction d'entreprise, par exemple celle du site web de commerce électronique principal de l'entreprise ou du centre de données principal à New York.

L'examen plus large des performances de sécurité permet aux responsables sécurité de fournir un contexte précieux aux dirigeants de l'entreprise, qui peuvent ainsi connaître l'efficacité du programme de sécurité et décider ou non d'investir plus de ressources dans des domaines pour limiter et réduire davantage le risque au sein de l'entreprise.

Ces mêmes métriques, lorsqu'elles sont vues du seul point de vue de l'équipe de sécurité, représentent la combinaison de tous les efforts menés par tous les membres à tous les niveaux de prise de décision de l'équipe. De cette façon, les RSSI et autres responsables sécurité au niveau de la direction peuvent déterminer de manière mesurable si la vision de l'équipe de sécurité est perçue avec succès par les autres membres de l'équipe et si les décisions au niveau de la stratégie et de la tactique sont efficaces pour réduire les risques de manière tangible. Bien sûr, si ces métriques montrent une tendance à la baisse, les responsables sécurité peuvent corriger leur trajectoire et identifier les domaines qui nécessitent davantage de soutien de la direction pour surmonter les obstacles, acquérir plus de ressources, embaucher plus de personnel ou recevoir une aide extérieure supplémentaire. 

Décisions au niveau stratégique

Plus bas dans l'organigramme de l'équipe de sécurité, les décideurs de niveau stratégique (généralement des directeurs, des chefs d'équipe ou d'autres responsables de niveau intermédiaire, mais également des experts techniques ou des analystes seniors) doivent aider la direction à prendre de meilleures décisions pour l'orientation globale de l'entreprise. Ils doivent aussi assister les équipes au niveau tactique pour une plus grande efficacité dans leurs efforts de remédiation des risques. 

La priorisation des risques est essentielle pour soutenir au mieux les équipes au niveau tactique, là où les décisions opérationnelles quotidiennes sont essentielles pour garantir que l'entreprise concentre ses ressources sur les domaines les plus critiques, là où la remédiation aura le plus grand impact. Dans la traduction des exigences d'entreprise en exécution opérationnelle, la criticité des assets est essentielle pour comprendre où réduire les risques les plus critiques pour l'entreprise dans son ensemble. Elle l'est aussi pour aider les équipes opérationnelles à prioriser leurs efforts plus efficacement. 

En comprenant la criticité des assets pour l'activité de votre entreprise, sur la base de l'emplacement de l'asset, de son exposition à Internet, du type d'appareil, de la fonction qu'il prend en charge dans l'entreprise ou d'autres facteurs, vous pouvez appliquer une approche davantage basée sur le risque à vos workflows de remédiation.    

Pour la gestion globale de votre programme de sécurité, il est également important de comprendre si les politiques, processus et procédures fonctionnent comme prévu et contribuent à améliorer la maturité au fil du temps. Les décisions au niveau stratégique doivent soutenir les deux autres niveaux de prise de décision. En affinant et en améliorant constamment le programme de sécurité grâce à de meilleures décisions stratégiques, on peut démontrer que le programme est efficace et qu'il s'améliore de jour en jour. Ceci est une indication importante de la valeur d'entreprise pour les décideurs au niveau de la direction. Faire comprendre à la direction que les mesures que vous prenez pour améliorer le programme de sécurité ont une valeur pour l'entreprise est essentiel au succès de l'équipe. Cette compréhension permet aussi d'appuyer les demandes d'allocations budgétaires et de personnel supplémentaires. La mesure de l'efficacité de vos processus d'évaluation et de remédiation du point de vue de la maturité permet alors au décideur de niveau stratégique de réorganiser les ressources si nécessaire pour améliorer ces workflows. Elle permet aussi de répondre aux exigences globales de l'entreprise en réduisant les risques en continu et en augmentant le retour sur investissement grâce à l'optimisation de l'efficacité et des processus.

Décisions au niveau tactique

Que l'équipe de sécurité soit ou non directement impliquée dans l'exécution opérationnelle des efforts actifs de remédiation, elle joue toujours un rôle essentiel en favorisant l'exécution de ces tâches quotidiennes de correction et de remédiation de manière efficace. 

En traduisant les informations sur la sécurité en étapes de recommandation spécifiques, l'équipe de sécurité peut permettre aux équipes des opérations de comprendre rapidement ce qui doit être fait et de créer efficacement le workflow approprié pour effectuer les étapes de remédiation nécessaires. Une intégration plus transparente entre les processus de sécurité et opérationnels permet ici d'améliorer le programme dans sa globalité, ce qui crée une plus grande valeur et réduit les risques de manière plus tangible pour l'entreprise.

Chaque niveau apporte ses propres défis en matière de prise de décision. Mais armé des bonnes informations et perspectives, vous pouvez apporter des améliorations tangibles à l'efficacité du programme, et les démontrer.

Pour en savoir plus 

• Lire le livre blanc : 3 niveaux de stratégie de sécurité en termes de décisions relatives aux risques pour l'entreprise
• S'inscrire au webinaire (en anglais) :  Improve Your Security Strategy: Master the 3 Levels of Decision Making
• Regardez les vidéos : Mesurez l'efficacité de votre programme avec Tenable Lumin