Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »

D'après une étude indépendante sur le risque pour l'activité, la cyber-sécurité est rarement intégrée à 100 % à la stratégie de l'entreprise. Cette intégration est pourtant nécessaire.

Imaginez la situation suivante : une vulnérabilité susceptible de faire les gros titres a été divulguée. Les chaînes d'infos et les médias sociaux ne parlent que de cela. Elle touche un logiciel qui est utilisé par presque toutes les entreprises au monde. Le conseil d'administration exige des réponses et les cadres dirigeants commencent à paniquer. La PDG convoque une réunion d'urgence. La première question qu'elle vous pose est la suivante : « Notre entreprise est-elle vraiment sécurisée ? ».

Êtes-vous capable de répondre ?

Si oui, vous faites partie des plus chanceux. D'après une étude réalisée par Forrester Consulting à la demande de Tenable, seuls quatre responsables sécurité sur dix déclarent pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». 

Même si vous débutez en cyber-sécurité, vous savez pertinemment que répondre à cette question est bien plus difficile qu'il n'y paraît. 

Vous pouvez bien sûr fournir des données sur le nombre de systèmes touchés et le délai nécessaire pour apporter une remédiation. Mais ces éléments ne vont pas donner à la PDG les réponses dont elle a besoin. Ce qu'elle cherche réellement à savoir, c'est si les répercussions de cette vulnérabilité auront un effet négatif sur la capacité de l'entreprise à créer sa valeur essentielle. 

Basée sur une enquête menée auprès de 416 responsables sécurité et 425 dirigeants dans 10 pays, l'étude de Forrester révèle une fracture entre la façon dont les entreprises comprennent le cyber-risque et dont elles le gèrent. D'après l'étude, intitulée L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, 66 % des dirigeants n'ont, tout au plus, qu'une certaine confiance en la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de vulnérabilité de leur entreprise. Voici ce que révèle notamment cette étude :

• Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'activité. 
• Seulement la moitié des responsables sécurité (51 %) affirment que leur département de sécurité collabore avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise.
• Seuls 43 % des responsables sécurité indiquent qu'ils passent régulièrement en revue les métriques de performance du département de sécurité avec les interlocuteurs clés au sein de l'entreprise.
• Seulement la moitié des responsables sécurité (47 %) consultent très fréquemment les dirigeants lorsqu'ils développent leur stratégie de cyber-sécurité. D'un autre côté, quatre dirigeants sur dix (42 %) consultent rarement (voire jamais) les responsables sécurité lorsqu'ils développent les stratégies de l'entreprise.
• Seuls 54 % des responsables sécurité et 42 % des dirigeants affirment que leurs stratégies de cyber-sécurité sont parfaitement ou étroitement alignées sur les objectifs de l'entreprise. 

« La plus grande difficulté quand on s'adresse aux dirigeants, c'est d'essayer de garder le propos non technique et de l'orienter sur l'entreprise, ou d'être capable de traduire le jargon technique en termes de gestion d'entreprise », explique Kevin Kerr, RSSI d'Oak Ridge National Laboratory à Oak Ridge, au Tennessee, dans un entretien avec Tenable. « Si vous ne comprenez pas la gestion d'entreprise, vous n'y arrivez pas. Vous devez comprendre les craintes des dirigeants, ce qu'ils voient comme des menaces et ce qu'ils pensent être important. Si vous comprenez leur point de vue, si vous savez ce qu'ils essaient d'accomplir, ce qu'ils essaient de protéger, ce qu'ils essaient de monétiser, vous pouvez leur présenter le meilleur moyen d'y parvenir d'une manière sécurisée qui répondra aux normes que vous êtes tenu de respecter [tout en] leur donnant la liberté nécessaire pour mener leurs activités. »

Comprendre le contexte de l'entreprise

Définir le contexte du cyber-risque dans une entreprise n'a rien de facile. Les réponses seront différentes d'une entreprise à l'autre. 

« Le risque est un terme que les dirigeants connaissent et redoutent, et il est tout aussi connu dans le domaine de la cyber-sécurité », affirme Cesar Garza, RSSI de Home Depot Mexique à San Pedro, au Mexique. « Nous, les professionnels de la cyber-sécurité, sommes confrontés à des risques chaque minute, qu'il s'agisse de vulnérabilités, de faiblesses dans le code, du facteur humain, de ruptures de processus, de technologies obsolètes, de mauvaises configurations, etc. Le risque est le facteur commun entre le langage de la cyber-sécurité et celui des dirigeants. C'est là leur terrain d'entente. Malgré tout, il est difficile de traduire les risques de cyber-sécurité en risques pour l'activité qui doivent être compris par les dirigeants. Dans certains cas, nous devons imaginer le pire scénario et parler des préoccupations que cela soulève, comme des amendes, une atteinte à l'image de marque et la perte de clients, pour mieux faire passer le message. J'aime leur dire : "parlons des risques pour pouvoir comprendre ensemble les investissements réalisés en matière de cyber-sécurité". »

Pour fournir le contexte de l'entreprise, les responsables chargés de la sécurité et de la gestion des risques doivent d'abord pouvoir répondre à ces deux questions essentielles :

1. Quelle est la valeur essentielle créée par votre entreprise ? Dans le secteur de la fabrication, il peut s'agir de fabriquer et de vendre des gadgets pour faire des bénéfices. Dans le secteur de la santé, de dispenser des soins médicaux aux patients. Dans l'administration publique, de fournir un service aux usagers, par exemple l'émission de permis de conduire ou le traitement des déchets. 
2. Lesquels de vos assets IT sont essentiels dans la création de cette valeur ? Par exemple, y a-t-il un système ERP, une application de dossiers médicaux ou une base de données qui, s'ils sont mis hors ligne, paralyseraient vos opérations ? Existe-t-il des groupes d'utilisateurs dont les ordinateurs, s'ils venaient à être compromis, exposeraient des éléments clés de propriété intellectuelle ou des données sensibles susceptibles d'empêcher l'entreprise de créer cette valeur ? Existe-t-il un environnement cloud qui, en cas de mise hors ligne, ferait dérailler un important service web orienté client, par exemple un site de gestion bancaire ou d'e-commerce ?

« Tout repose sur la qualité des relations avec l'entreprise et l'organisation de points réguliers avec les différents dirigeants pour comprendre quelles initiatives sont en cours dans l'entreprise », explique Rick Vadgama, vice-président et RSSI d'une plateforme mondiale de voyages à Needham, au Massachussets, dans un entretien avec Tenable. « S'ils perdaient un système ou une fonction, quelles seraient les conséquences sur les flux de revenus ? C'est en sachant cela que nous pouvons décider, d'un point de vue de la sécurité, où investir notre temps et nos efforts afin d'avoir une bonne visibilité sur tous les assets qui composent ce [système] et de comprendre quelles vulnérabilités ils contiennent. En tant que responsables InfoSec, nos environnements sont très vastes. En collaborant de près avec les dirigeants, vous apprenez des intéressés eux-mêmes quels systèmes ils estiment être essentiels et sans lesquels ils ne pourraient rien faire, et [vous pouvez] articuler vos efforts autour de ça. »

S'il est essentiel de mieux comprendre le contexte de l'entreprise, il est tout aussi important d'admettre que, même avec ces connaissances supplémentaires, la gestion des assets et les bases de données de configurations ont leurs limites. Pour commencer, les inventaires des assets et la gestion des configurations représentent des opérations relativement statiques. D'après mon expérience, la plupart des entreprises se contentent d'effectuer une fois par an une évaluation des risques ou une analyse d'impact sur l'activité portant sur les fonctions clés de l'entreprise. Une approche aussi statique ne suffit pas à capturer la réalité de la surface d'attaque moderne, laquelle est composée d'un mélange dynamique d'IT sur site et dans le cloud, d'IoT (Internet of Things) et d'OT (technologies opérationnelles). 

Par exemple, dans la plupart des grandes entreprises, des services cloud sont démarrés et arrêtés chaque jour, selon les besoins du moment. Des assets informatiques sont constamment ajoutés et supprimés à mesure que des employés quittent ou rejoignent l'entreprise. Des applications et des logiciels sont sans cesse implémentés et mis à niveau à mesure que l'entreprise évolue. Et, en réponse à la pandémie de COVID-19, de nombreux employés du monde entier sont passés au télétravail, un fonctionnement probablement en passe de transformer les habitudes dans les entreprises. Alors que les entreprises d'aujourd'hui vivent au rythme soutenu du commerce digital, les inventaires d'assets n'arrivent plus à suivre. Les responsables sécurité se retrouvent à devoir, avec les outils qui sont à leur disposition, tenter de comprendre la criticité des assets de la manière la plus complète possible. 

« Le rythme de la croissance que nous connaissons, caractéristique d'un secteur qui se développe généralement de façon non organique, et la part d'ambiguïté inhérente à l'exécution des évaluations de risques qualitatives, font parti de nos plus grands défis en tant que professionnels de la sécurité », déclare Jose Maria Labernia Salvador, directeur de la sécurité IT et du contrôle interne chez LafargeHolcim IT EMEA à Madrid, dans un entretien avec Tenable.

En plus de parvenir à identifier les assets stratégiques, vous devez également être en mesure de prioriser les éléments qui posent le plus de risque pour ces assets critiques parmi les dizaines de milliers de menaces et vulnérabilités auxquelles votre entreprise est confrontée chaque année. Les responsables sécurité ont besoin de juger la menace que représente une vulnérabilité ou une méthode d'attaque à l'aune de l'impact sur l'entreprise qu'aurait la remédiation ou la limitation. Pour résumer, vous devez comprendre votre degré d'exposition au problème, dans quel délai vous pouvez y répondre avec les processus les plus robustes et les conséquences à prévoir sur la valeur essentielle de l'entreprise si vous ne faites rien ou si vous traitez le problème.

Lorsqu'une nouvelle vulnérabilité médiatisée viendra affoler l'équipe dirigeante, serez-vous prêt ?

Après tout, il est fort probable que les membres de votre équipe dirigeante ne soient ni des experts en cyber-sécurité, ni des experts en vulnérabilités. Tout ce qu'ils veulent réellement savoir se résume à la question suivante : quel impact notre pratique de cyber-sécurité a-t-elle sur la création de valeur dans l'entreprise ? En opérant un alignement sur les objectifs de l'entreprise, ce qui vous permet d'évaluer en toute confiance le nombre de vulnérabilités critiques qui touchent les assets et qui ont les conséquences les plus néfastes sur les domaines essentiels de l'activité, vous pouvez formuler une réponse claire à la question « Notre entreprise est-elle vraiment sécurisée ? ».

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

• Découvrez d'autres conclusions de l'étude
• Pour plus d'informations, rendez-vous sur notre page web 
• Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise
• Lisez l'article de blog Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?
• Téléchargez le livre blanc Devenir un responsable sécurité aligné sur les objectifs de l'entreprise