La mauvaise nouvelle ? Il existe un fossé entre l'entreprise et la cyber-sécurité. La bonne nouvelle ? Opérer un alignement peut changer les choses.
Si vous avez officié en tant que RSSI, CSO ou responsable cyber-sécurité, vous avez probablement eu affaire à un PDG, un membre du conseil ou un autre dirigeant qui vous demandait régulièrement « Notre entreprise est-elle vraiment sécurisée ? ». Et vous savez également que cette question n'est pas si simple qu'elle paraît.
Dans un contexte où les risques pour l'entreprise évoluent rapidement (pandémie, ralentissement économique et télétravail), les cyber-attaques et les menaces qui se multiplient dans le monde entier amplifient non seulement chaque risque, mais elles poussent également le conseil d'administration à s'intéresser de près à la cyber-sécurité. Pourtant, les équipes de sécurité en première ligne sont confrontées à bon nombre de difficultés qui les empêchent de fournir aux dirigeants une image claire de la posture de cyber-sécurité de l'entreprise.
Pour lever le voile sur les difficultés rencontrées par les responsables sécurité et les aider à entamer un dialogue constructif avec les autres dirigeants de l'entreprise, Tenable a demandé à Forrester Consulting de mener une enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants, et de réaliser une étude à partir des données obtenues pour cerner les stratégies et pratiques de cyber-sécurité des grandes et moyennes entreprises. L'étude résultante, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, met en lumière le fossé qui existe entre les attentes de l'entreprise et les réalités auxquelles sont confrontés les responsables sécurité. Mais elle met également au jour une nouvelle opportunité qui se présente aux entreprises digitales, à savoir hisser le rôle de RSSI au même niveau que les autres dirigeants.
L'avenir appartient au responsable cyber-sécurité aligné sur les objectifs de l'entreprise
L'étude distingue quatre thèmes principaux :
- Les menaces de cyber-sécurité se multiplient dans un climat ambiant d'incertitude et s'invitent à l'ordre du jour des conseils d'administration. La grande majorité des entreprises (94 %) ont connu au moins une cyber-attaque ou une compromission ayant des répercussions sur l'activité* au cours des 12 derniers mois. Environ deux tiers (65 %) ont déclaré que ces attaques impliquaient des assets OT (technologies opérationnelles).
- Les dirigeants veulent obtenir une image claire de la posture de cyber-sécurité de leur entreprise, mais les responsables sécurité peinent à la leur fournir. Seuls quatre responsables sécurité sur dix affirment pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». L'absence de données consolidées et de contexte associé intensifie les difficultés auxquelles font face les décideurs en matière de cyber-sécurité.
- Il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. Seulement la moitié des responsables sécurité (51 %) affirment que leur département de sécurité collabore avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Seuls quatre responsables sécurité sur dix (43 %) affirment passer régulièrement en revue les indicateurs de performance du département de sécurité avec les interlocuteurs clés de l'entreprise.
- La cyber-sécurité doit évoluer pour devenir une stratégie d'entreprise. Cela n'est pas possible tant que les responsables sécurité n'ont pas une meilleure visibilité de leur surface d'attaque. À peine plus de la moitié des responsables sécurité déclarent que leur département de sécurité jouit d'une connaissance et d'une évaluation complètes de la surface d'attaque de leur entreprise, et moins de 50 % des départements de sécurité utilisent des indicateurs de menace d'ordre contextuel pour mesurer le cyber-risque de leur entreprise. Leur capacité à analyser les cyber-risques, à prioriser la remédiation et à l'exécuter en fonction de la criticité pour l'entreprise et du contexte des menaces est donc limitée.
D'après l'étude, lorsque les responsables sécurité et les dirigeants s'accordent sur les données relatives aux risques pour l'entreprise à utiliser, ils obtiennent des résultats significatifs et tangibles. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise. Chose encore plus manifeste dans le climat actuel où le ralentissement économique pousse les entreprises à réévaluer leurs dépenses :85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.
Comme le faisait remarquer Dan Bowden, RSSI de Sentara Healthcare, lors d'un entretien avec Tenable l'année dernière : « Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. Si vous pouvez leur fournir des informations intéressantes sur l'exposition et identifier clairement les mesures à prendre, ils comprennent alors les données. Les membres du conseil veulent compter parmi ceux qui vous aident à résoudre le problème et à mieux gérer le risque. »
« Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. » Dan Bowden, CISO, Sentara Healthcare
Afin d'opérer cet alignement, les RSSI et autres responsables de la sécurité et de la gestion des risques ont besoin du bon mélange de technologies, de données, de processus et de facteur humain. Par exemple, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement. L'étude indique également que, en matière d'automatisation des processus clés d'évaluation des vulnérabilités, les responsables sécurité alignés distancent leurs homologues en vase close à l'approche plus réactive, avec une différence de 49 à 66 %.
Dans les chapitres suivants, nous parlerons plus en détail des constatations de l'étude et nous vous donnerons des conseils sur la manière dont Tenable peut aider votre entreprise à relever les défis liés aux technologies et aux données qui causent ce décalage. Dans le chapitre 1, nous nous intéresserons aux nombreuses difficultés auxquelles sont confrontés les responsables sécurité quand il s'agit de répondre à la question « Notre entreprise est-elle vraiment sécurisée ? ». Le chapitre 2 s'appuie sur l'actualité et montre comment les entreprises ont réagi à la pandémie de COVID-19 pour illustrer la façon dont ce fossé se manifeste dans la vie réelle. Dans le chapitre 3, nous examinons comment les indicateurs de cyber-sécurité existants ne permettent pas aux RSSI et aux autres responsables sécurité de disposer des données requises pour répondre aux risques auxquels l'entreprise est exposée. Enfin, dans le chapitre 4 et le chapitre 5 , nous allons aborder les éléments caractéristiques d'une pratique de cyber-sécurité alignée sur les objectifs de l'entreprise, ainsi que les étapes à suivre pour la mettre en place dans votre société. Nous fournirons également des conseils et des recommandations pour vous aider à devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.
Robert Huber, Chief Security Officer, Tenable * Aux fins de cette étude, l'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.Comment les entreprises peuvent mesurer objectivement le cyber-risque
En adoptant les meilleures pratiques de gestion de la Cyber Exposure, les entreprises peuvent réduire plus efficacement les cloisonnements fonctionnels et utiliser un langage commun pour discuter des risques ; c'est-à-dire un langage qui est compris à la fois par les dirigeants et les équipes de sécurité. Grâce à Tenable, les entreprises sont en mesure d'évaluer, de gérer et de réduire leur cyber-risque sur l'ensemble de la surface d'attaque moderne. La Cyber Exposure permet aux entreprises de mesurer objectivement leur cyber-risque, tant en interne que par rapport aux autres entreprises du secteur. Elles peuvent ainsi prendre des décisions stratégiques plus éclairées et mieux aligner les initiatives de sécurité sur les objectifs de l'entreprise. Les autres services ont tous des processus en place ; par exemple la gestion des services informatiques (ITSM) pour l'IT et la gestion de la relation client (CRM) pour le service commercial. Tenable peut être le processus qui vous permet de gérer et de mesurer efficacement le cyber-risque comme un risque pour l'entreprise.