Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
eBook Tenable

Comment devenir un responsable sécurité aligné sur les objectifs de l'entreprise

Introduction : L'avenir appartient au responsable sécurité aligné sur les objectifs de l'entreprise


Introduction : L'avenir appartient au responsable sécurité aligné sur les objectifs de l'entreprise

La mauvaise nouvelle ? Il existe un fossé entre l'entreprise et la cyber-sécurité. La bonne nouvelle ? Opérer un alignement peut changer les choses.

Si vous avez officié en tant que RSSI, CSO ou responsable cyber-sécurité, vous avez probablement eu affaire à un PDG, un membre du conseil ou un autre dirigeant qui vous demandait régulièrement « Notre entreprise est-elle vraiment sécurisée ? ». Et vous savez également que cette question n'est pas si simple qu'elle paraît.

Dans un contexte où les risques pour l'entreprise évoluent rapidement (pandémie, ralentissement économique et télétravail), les cyber-attaques et les menaces qui se multiplient dans le monde entier amplifient non seulement chaque risque, mais elles poussent également le conseil d'administration à s'intéresser de près à la cyber-sécurité. Pourtant, les équipes de sécurité en première ligne sont confrontées à bon nombre de difficultés qui les empêchent de fournir aux dirigeants une image claire de la posture de cyber-sécurité de l'entreprise.

Pour lever le voile sur les difficultés rencontrées par les responsables sécurité et les aider à entamer un dialogue constructif avec les autres dirigeants de l'entreprise, Tenable a demandé à Forrester Consulting de mener une enquête en ligne auprès de 416 responsables sécurité et 425 dirigeants, et de réaliser une étude à partir des données obtenues pour cerner les stratégies et pratiques de cyber-sécurité des grandes et moyennes entreprises. L'étude résultante, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, met en lumière le fossé qui existe entre les attentes de l'entreprise et les réalités auxquelles sont confrontés les responsables sécurité. Mais elle met également au jour une nouvelle opportunité qui se présente aux entreprises digitales, à savoir hisser le rôle de RSSI au même niveau que les autres dirigeants.

L'avenir appartient au responsable cyber-sécurité aligné sur les objectifs de l'entreprise

L'étude distingue quatre thèmes principaux :

  1. Les menaces de cyber-sécurité se multiplient dans un climat ambiant d'incertitude et s'invitent à l'ordre du jour des conseils d'administration. La grande majorité des entreprises (94 %) ont connu au moins une cyber-attaque ou une compromission ayant des répercussions sur l'activité* au cours des 12 derniers mois. Environ deux tiers (65 %) ont déclaré que ces attaques impliquaient des assets OT (technologies opérationnelles).
  2. Les dirigeants veulent obtenir une image claire de la posture de cyber-sécurité de leur entreprise, mais les responsables sécurité peinent à la leur fournir. Seuls quatre responsables sécurité sur dix affirment pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». L'absence de données consolidées et de contexte associé intensifie les difficultés auxquelles font face les décideurs en matière de cyber-sécurité.
  3. Il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. Seulement la moitié des responsables sécurité (51 %) affirment que leur département de sécurité collabore avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Seuls quatre responsables sécurité sur dix (43 %) affirment passer régulièrement en revue les indicateurs de performance du département de sécurité avec les interlocuteurs clés de l'entreprise.
  4. La cyber-sécurité doit évoluer pour devenir une stratégie d'entreprise. Cela n'est pas possible tant que les responsables sécurité n'ont pas une meilleure visibilité de leur surface d'attaque. À peine plus de la moitié des responsables sécurité déclarent que leur département de sécurité jouit d'une connaissance et d'une évaluation complètes de la surface d'attaque de leur entreprise, et moins de 50 % des départements de sécurité utilisent des indicateurs de menace d'ordre contextuel pour mesurer le cyber-risque de leur entreprise. Leur capacité à analyser les cyber-risques, à prioriser la remédiation et à l'exécuter en fonction de la criticité pour l'entreprise et du contexte des menaces est donc limitée.

D'après l'étude, lorsque les responsables sécurité et les dirigeants s'accordent sur les données relatives aux risques pour l'entreprise à utiliser, ils obtiennent des résultats significatifs et tangibles. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise. Chose encore plus manifeste dans le climat actuel où le ralentissement économique pousse les entreprises à réévaluer leurs dépenses :85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.

Comme le faisait remarquer Dan Bowden, RSSI de Sentara Healthcare, lors d'un entretien avec Tenable l'année dernière : « Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. Si vous pouvez leur fournir des informations intéressantes sur l'exposition et identifier clairement les mesures à prendre, ils comprennent alors les données. Les membres du conseil veulent compter parmi ceux qui vous aident à résoudre le problème et à mieux gérer le risque. »

« Dans le climat actuel, la société s'attend à ce que les entreprises gèrent mieux le risque. Chaque équipe de direction et chaque conseil d'administration souhaitent donc figurer parmi ceux qui ont contribué à résoudre le problème. » Dan Bowden, CISO, Sentara Healthcare

Afin d'opérer cet alignement, les RSSI et autres responsables de la sécurité et de la gestion des risques ont besoin du bon mélange de technologies, de données, de processus et de facteur humain. Par exemple, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement. L'étude indique également que, en matière d'automatisation des processus clés d'évaluation des vulnérabilités, les responsables sécurité alignés distancent leurs homologues en vase close à l'approche plus réactive, avec une différence de 49 à 66 %.

Dans les chapitres suivants, nous parlerons plus en détail des constatations de l'étude et nous vous donnerons des conseils sur la manière dont Tenable peut aider votre entreprise à relever les défis liés aux technologies et aux données qui causent ce décalage. Dans le chapitre 1, nous nous intéresserons aux nombreuses difficultés auxquelles sont confrontés les responsables sécurité quand il s'agit de répondre à la question « Notre entreprise est-elle vraiment sécurisée ? ». Le chapitre 2 s'appuie sur l'actualité et montre comment les entreprises ont réagi à la pandémie de COVID-19 pour illustrer la façon dont ce fossé se manifeste dans la vie réelle. Dans le chapitre 3, nous examinons comment les indicateurs de cyber-sécurité existants ne permettent pas aux RSSI et aux autres responsables sécurité de disposer des données requises pour répondre aux risques auxquels l'entreprise est exposée. Enfin, dans le chapitre 4 et le chapitre 5 , nous allons aborder les éléments caractéristiques d'une pratique de cyber-sécurité alignée sur les objectifs de l'entreprise, ainsi que les étapes à suivre pour la mettre en place dans votre société. Nous fournirons également des conseils et des recommandations pour vous aider à devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

Robert Huber, Chief Security Officer, Tenable * Aux fins de cette étude, l'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.

Comment les entreprises peuvent mesurer objectivement le cyber-risque

En adoptant les meilleures pratiques de gestion de la Cyber Exposure, les entreprises peuvent réduire plus efficacement les cloisonnements fonctionnels et utiliser un langage commun pour discuter des risques ; c'est-à-dire un langage qui est compris à la fois par les dirigeants et les équipes de sécurité. Grâce à Tenable, les entreprises sont en mesure d'évaluer, de gérer et de réduire leur cyber-risque sur l'ensemble de la surface d'attaque moderne. La Cyber Exposure permet aux entreprises de mesurer objectivement leur cyber-risque, tant en interne que par rapport aux autres entreprises du secteur. Elles peuvent ainsi prendre des décisions stratégiques plus éclairées et mieux aligner les initiatives de sécurité sur les objectifs de l'entreprise. Les autres services ont tous des processus en place ; par exemple la gestion des services informatiques (ITSM) pour l'IT et la gestion de la relation client (CRM) pour le service commercial. Tenable peut être le processus qui vous permet de gérer et de mesurer efficacement le cyber-risque comme un risque pour l'entreprise.

En savoir plus

Chapitre 1 : Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »


Chapitre 1 : Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »

La cyber-sécurité est rarement intégrée à 100 % à la stratégie de l'entreprise, alors que cette intégration est nécessaire.

Imaginez la situation suivante : une vulnérabilité susceptible de faire les gros titres a été divulguée. Les chaînes d'information et les médias sociaux ne parlent que de cela. Elle touche un logiciel qui est utilisé par presque toutes les entreprises au monde. Le conseil d'administration exige des réponses et les cadres dirigeants commencent à paniquer. La PDG convoque une réunion d'urgence. La première question qu'elle vous pose est la suivante : « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

Êtes-vous capable de répondre ?

Si oui, vous faites partie des plus chanceux. L'étude menée par Forrester Consulting, L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise, révèle que seuls 4 responsables sécurité sur 10 déclarent pouvoir répondre en toute confiance à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

Même si vous débutez en cyber-sécurité, vous savez pertinemment que répondre à cette question est bien plus difficile qu'il n'y paraît.

Vous pouvez bien sûr fournir des données sur le nombre de systèmes touchés et le délai nécessaire pour apporter une remédiation. Mais ces éléments ne vont pas donner à la PDG les réponses dont elle a besoin. Voici ce qu'elle veut savoir : les répercussions de cette vulnérabilité auront-elles un effet négatif sur la capacité de l'entreprise à créer sa valeur essentielle ?

Après tout, il est fort probable que les membres de votre équipe dirigeante ne soient ni des experts en cyber-sécurité, ni des experts en vulnérabilités. Voilà ce qu'ils veulent savoir : quel impact notre pratique de cyber-sécurité a-t-elle sur la création de valeur dans l'entreprise ?

L'étude menée par Consulting Forrester montre qu'il existe un fossé entre la façon dont les entreprises comprennent le cyber-risque et la façon dont elles le gèrent. Par exemple, 66 % des dirigeants n'ont, tout au plus, qu'une certaine confiance en la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de sécurité de leur entreprise, ce qui est un chiffre plutôt alarmant. L'étude rend compte des constats suivants :

  • Moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise.
  • Seulement la moitié des responsables sécurité (51 %) affirment que leur département de sécurité collabore avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise.
  • Seuls 43 % des responsables sécurité indiquent qu'ils passent régulièrement en revue les indicateurs de performance du département de sécurité avec les interlocuteurs clés au sein de l'entreprise.
  • Seulement la moitié des responsables sécurité (47 %) consultent très fréquemment les dirigeants lorsqu'ils développent leur stratégie de cyber-sécurité. D'un autre côté, quatre dirigeants sur dix (42 %) consultent rarement (voire jamais) les responsables sécurité lorsqu'ils développent les stratégies de l'entreprise.
  • Seuls 54 % des responsables sécurité et 42 % des dirigeants affirment que leurs stratégies de cyber-sécurité sont parfaitement ou étroitement alignées sur les objectifs de l'entreprise.

Comprendre le contexte de l'entreprise

Définir le contexte du cyber-risque dans une entreprise n'a rien de facile. Les réponses seront différentes d'une entreprise à l'autre. Pour fournir le contexte de l'entreprise, les responsables chargés de la sécurité et de la gestion des risques doivent d'abord pouvoir répondre à ces deux questions essentielles :

  1. Quelle est la principale raison d'être de votre entreprise ? Dans le secteur de la fabrication, il peut s'agir de fabriquer et de vendre des gadgets pour faire des bénéfices. Dans le secteur de la santé, de dispenser des soins médicaux aux patients. Dans l'administration publique, de fournir un service aux usagers, par exemple l'émission de permis de conduire ou le traitement des déchets.
  2. Parmi vos assets IT, lesquels sont essentiels à la création de cette valeur ? Par exemple, y a-t-il un système ERP, une application de dossiers médicaux ou une base de données qui, s'ils sont mis hors ligne, paralyseraient vos opérations ? Existe-t-il des groupes d'utilisateurs, dont les ordinateurs, s'ils venaient à être compromis, exposeraient des éléments clés de propriété intellectuelle ou des données sensibles susceptibles d'empêcher l'entreprise de créer cette valeur ? Existe-t-il un environnement cloud qui, en cas de mise hors ligne, ferait dérailler un important service web orienté client, par exemple un site de gestion bancaire ou d'e-commerce ?

Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Une étude menée auprès de 800 dirigeants et responsables cyber-sécurité du monde entier par Forrester Consulting

Télécharger maintenant
Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Les bases de données de gestion et de configuration des assets existantes ne peuvent pas vous aider à répondre à ces questions. Pour commencer, les inventaires des assets et la gestion des configurations représentent des opérations relativement statiques. La plupart des entreprises se contentent d'effectuer une fois par an une évaluation des risques ou une analyse d'impact sur l'entreprise portant sur les fonctions clés de l'entreprise. Une approche aussi statique ne suffit pas à capturer la réalité de la surface d'attaque moderne, laquelle est composée d'un mélange dynamique d'IT sur site et dans le cloud, d'IoT (Internet of Things) et d'OT (technologies opérationnelles).

Les bases de données de gestion et de configuration des assets existantes ne peuvent pas vous aider à répondre aux questions des dirigeants.

Par exemple, dans la plupart des grandes entreprises, des services cloud sont démarrés et arrêtés chaque jour, selon les besoins du moment. Des assets informatiques sont constamment ajoutés et supprimés à mesure que des employés quittent ou rejoignent l'entreprise. Des applications et des logiciels sont sans cesse implémentés et mis à niveau à mesure que l'entreprise évolue. Et, en réponse à la pandémie de COVID-19, de nombreux employés du monde entier sont passés au télétravail, un modèle de fonctionnement probablement en passe de devenir la norme dans les entreprises. Alors que les entreprises d'aujourd'hui vivent au rythme soutenu du commerce digital, les inventaires des assets ne sont plus suffisants. Les responsables sécurité n'ont d'autre choix que de tenter de comprendre la criticité des assets de la manière la plus complète possible avec les outils qui sont à leur disposition.

En plus de parvenir à identifier les assets stratégiques, vous devez également être en mesure de prioriser les éléments qui posent le plus de risque pour ces assets critiques parmi les dizaines de milliers de menaces et vulnérabilités auxquelles votre entreprise est confrontée chaque année. Les responsables sécurité ont besoin de juger la menace que représente une vulnérabilité ou une méthode d'attaque à l'aune de l'impact sur l'entreprise qu'aurait la remédiation ou la limitation. Pour résumer, vous devez comprendre votre degré d'exposition au problème, dans quel délai vous pouvez y répondre avec les processus les plus robustes et les conséquences à prévoir sur la valeur essentielle de l'entreprise si vous ne faites rien ou si vous traitez le problème.

Lorsqu'une nouvelle vulnérabilité médiatisée attirera l'attention de l'équipe dirigeante, serez-vous prêt ?

Après tout, il est fort probable que les membres de votre équipe dirigeante ne soient ni des experts en cyber-sécurité, ni des experts en vulnérabilités. Voilà ce qu'ils veulent savoir : quel impact notre pratique de cyber-sécurité a-t-elle sur la création de valeur ? En opérant un alignement sur les objectifs de l'entreprise, ce qui vous permet d'évaluer en toute confiance le nombre de vulnérabilités critiques qui touchent les assets et qui ont les conséquences les plus néfastes sur les domaines essentiels de l'activité, vous pouvez formuler une réponse claire à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ».

Se préparer à répondre à la question « Notre entreprise est-elle vulnérable ? »

Comme vous le diront tous les responsables de la sécurité de l'information :  « vous ne pouvez pas protéger des assets dont vous ignorez l'existence ». Vous pouvez difficilement savoir quel est le degré de cyber-risque auquel vous êtes exposé si vous n'avez pas une visibilité complète des assets présents dans votre environnement. En outre, si vous ne comprenez pas le rôle que chaque asset joue dans le bon fonctionnement des fonctions essentielles de l'entreprise, il vous sera impossible de mesurer quelles seraient les conséquences si vous deviez mettre un système hors ligne pour corriger une vulnérabilité, ou de décider si cela vaut la peine d'apporter une remédiation à un système donné. Par où devez-vous donc commencer ?

  1. Connaissez l'environnement de votre entreprise. Collaborez avec vos interlocuteurs au sein de l'entreprise pour comprendre, identifier et prioriser les services et les applications qui doivent être protégés. Si tout est urgent, en définitive, rien ne l'est. Sans ces informations, vous ne pouvez pas identifier quelles parties de l'entreprise pourraient être touchées par un exploit et il sera presque impossible de savoir avec qui collaborer si un problème survient.
  2. Évaluez tous vos assets en continu. La plupart des scanners traditionnels ont été conçus pour les environnements IT traditionnels et ne sont pas aptes à détecter les vulnérabilités dans les aspects les plus dynamiques de la surface d'attaque moderne, y compris les environnements cloud, OT et de conteneurs. Pour ne pas vous laisser distancer, passez à une solution complète qui vous permet de bénéficier de nombreuses fonctionnalités : scans actifs, surveillance passive, agents, connecteurs, intégrations... Vous pouvez ainsi évaluer votre environnement dans ses moindres recoins, quel que soit l'endroit où les assets sont présents, l'environnement dans lequel ils se trouvent, la fréquence à laquelle ils sont connectés au réseau, et qu'ils relèvent ou non du champ des audits.
  3. Ajoutez le contexte de l'entreprise en ajoutant des métadonnées descriptives aux assets. Utilisez des marqueurs pour identifier les assets stratégiques. Le marquage permet de mesurer le risque par entité métier (quelle « tâche » ces assets soutiennent-ils ?) ou par équipe (à qui dois-je m'adresser pour organiser la remédiation ?). Avec Tenable, vous pouvez marquer les assets à la fois automatiquement (à l'aide de règles) et manuellement.
  4. Priorisez les vulnérabilités en fonction du risque et décidez des mesures à prendre. En plus de parvenir à identifier les assets stratégiques, vous devez également prioriser les éléments qui posent le plus de risque pour ces assets critiques parmi les menaces et vulnérabilités auxquelles votre entreprise est confrontée. Les responsables sécurité ont besoin de juger la menace que représente une vulnérabilité ou une méthode d'attaque à l'aune de l'impact sur l'entreprise qu'aurait la remédiation ou la limitation. Parmi les milliers de nouvelles vulnérabilités qui apparaissent chaque année, vous devez identifier celles que les attaquants sont le plus susceptibles d'exploiter, savoir dans quelle mesure vous y êtes exposé, à quelle vitesse vous pouvez apporter une remédiation en utilisant les processus mis en place et quelle approche serait la plus bénéfique pour votre entreprise entre ne rien faire et résoudre le problème.

Chapitre 2 : Étude de cas : illustration concrète du fossé entre l'entreprise et la cyber-sécurité


Chapitre 2 : Étude de cas : illustration concrète du fossé entre l'entreprise et la cyber-sécurité

Les entreprises ont dû mettre en place de nouveaux processus en catastrophe pour faire face à la pandémie de COVID-19. Dans ce contexte, la cyber-sécurité n'était clairement plus au cœur des préoccupations.

Chacun sait que les cyber-criminels profitent des grands événements qui secouent le monde entier (qu'il s'agisse d'une crise mondiale ou d'une vulnérabilité qui fait la une des journaux comme WannaCry) pour lancer des attaques de malwares et de phishing. En 2020, aucun événement n'a autant fait les gros titres que l'émergence du COVID-19, une maladie virale qui a déclenché une pandémie mondiale. La crise a pris de nombreuses entreprises au dépourvu et a démontré combien l'absence de plan de réponse aux sinistres et de plan de continuité de l'activité met les entreprises dans une position de vulnérabilité, et ce d'autant plus s'il existe un manque d'alignement entre les dirigeants et les responsables sécurité.

Bien que presque tous les participants de l'étude Forrester Consulting (96 %) affirment que leur entreprise a mis en place des stratégies de réponse au COVID-19, la grande majorité (75 %) affirme que les initiatives en matière de sécurité ne sont au mieux que « relativement » alignées sur les objectifs de l'entreprise.

Ce chiffre est d'autant plus inquiétant à l'heure où la pandémie a obligé les entreprises à passer au télétravail, conduisant à une augmentation massive du nombre d'appareils d'utilisateur final sur les réseaux d'entreprise. Les bureaux distants, qui étaient autrefois proposés uniquement à quelques chanceux, sont aujourd'hui des outils essentiels utilisés par de nombreux employés pour que l'activité soit maintenue. Du jour au lendemain, les employés se connectent aux systèmes et applications de l'entreprise en utilisant leurs propres routeur grand public et réseau domestique, qui n'ont jamais été testés et sont potentiellement vulnérables. La popularité des appareils connectés (IoT) en fait des vecteurs de menace potentiels. Un réseau domestique moyen peut englober un dispositif Amazon Alexa ou tout autre outil à commande vocale, des téléviseurs et des consoles de jeu vidéo connectés à Internet, sans parler des ordinateurs portables, tablettes et téléphones divers appartenant aux conjoints, aux enfants ou à d'autres membres du foyer.

Environ la moitié des responsables cyber-sécurité interrogés par Forrester Consulting (48 %) déclarent n'avoir qu'une visibilité modérée, voire nulle, sur leurs employés en télétravail.

L'Institut Brookings estime qu'à la date du 9 avril 2020, près de la moitié des travailleurs américains travaillaient de chez eux, ce qui constitue selon lui « un changement spectaculaire ». En effet, d'après une étude de Pew Research, avant la pandémie, seuls 7 % des travailleurs civils aux États-Unis (c'est-à-dire environ 9,8 millions sur les quelque 140 millions de travailleurs civils du pays) avaient la possibilité de travailler de manière « flexible », ou en télétravail.

Et les cyber-criminels ne se font pas prier pour exploiter une surface d'attaque qui s'étend de façon exponentielle. Selon l'étude Forrester, à la mi-avril 2020, quatre entreprises sur dix (41 %) avaient déjà subi au moins une cyber-attaque ayant des répercussions sur l'activité* à la suite d'une attaque de phishing ou de malware liée à la pandémie de COVID-19. Les attaques liées au COVID étaient en fait la source numéro 1 de toutes les cyber-attaques ayant des répercussions sur l'activité signalées dans l'étude. Bien que l'Organisation mondiale de la santé n'ait déclaré l'état de pandémie que quelques semaines avant que l'enquête ne soit menée, les attaques liées au COVID avaient déjà dépassé les autres types d'attaques ayant des répercussions sur l'activité telles que les fraudes (40 %), les violations de données (37 %), les ransomwares (36 %) et l'exploitation des vulnérabilités logicielles (34 %).

Naturellement, ces tendances inquiètent les responsables cyber-sécurité. Deux répondants sur trois à l'enquête Forrester (67 %) se disent très ou extrêmement préoccupés par le fait que les changements de modes de travail rendus nécessaires par la pandémie de COVID-19 vont augmenter le niveau de risque de leur entreprise.

Pour ne rien arranger, environ la moitié des responsables cyber-sécurité interrogés (48 %) déclarent n'avoir qu'une visibilité modérée, voire nulle, sur leurs employés en télétravail.

Pour combler ce fossé, les entreprises doivent dans un premier temps intégrer la cyber-sécurité dans leurs stratégies de gestion des risques.

Comment la gestion des risques peut vous aider à devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les RSSI, les CSO et les autres responsables cyber-sécurité sont les mieux placés pour jouer un rôle plus important dans la gestion des risques et les disciplines connexes que sont la continuité de l'activité, la reprise après sinistre et la gestion de crise. Vos responsabilités vous placent à un carrefour entre la technologie et la gestion d'entreprise. Vous avez une visibilité sur tous les systèmes, données et processus nécessaires à la mise en œuvre d'un plan de continuité de l'activité et de reprise après sinistre. Participer à la gestion des risques peut également rendre votre travail un peu plus gérable : si vous pouvez comprendre tous vos processus et assets critiques du point de vue du risque global pour l'entreprise, votre approche de cyber-sécurité sera également plus efficace.

Il y a également un avantage opérationnel évident à participer aux activités de gestion des risques, car elles peuvent créer une passerelle entre les dirigeants et les responsables InfoSec. Les enseignements tirés du processus aideront l'ensemble de l'entreprise à comprendre comment prioriser au mieux les ressources (tant humaines que financières) pour que l'entreprise puisse continuer à fonctionner même en cas de crise.

Si vous pouvez comprendre tous vos processus et assets critiques du point de vue du risque global pour l'entreprise, votre approche de cyber-sécurité sera également plus efficace.

À l'heure où les entreprises sont confrontées à une période d'incertitude économique susceptible de durer, il devient plus que jamais essentiel de prioriser les investissements en fonction du risque. L'étude Forrester montre que lorsque la sécurité est alignée sur les objectifs de l'entreprise, les résultats obtenus sont remarquables. Par exemple, 85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des indicateurs pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement un quart (25 %) de leurs homologues en vase clos à l'approche plus réactive.

En participant à l'élaboration de la stratégie de gestion des risques (ERM) de votre entreprise, vous serez sur la bonne voie pour devenir un responsable de cyber-sécurité aligné sur les objectifs de l'entreprise.

Ces six étapes vous aideront à identifier et à évaluer les risques auxquels votre entreprise est exposée :

  1. Élaborez une enquête d'évaluation des risques et demandez aux interlocuteurs clés d'y répondre. Ce type d'enquête est généralement destiné à la direction et aux des représentants de tous les principaux services de votre entreprise, notamment la direction financière, la direction juridique, les ressources humaines, l'IT, la sécurité de l'information, le service commercial, les opérations, le marketing et la R&D. Une fois votre enquête terminée, utilisez les réponses pour créer des catégories de risques afin de dresser un inventaire des risques auxquels l'entreprise est exposée.
  2. Effectuez des recherches et des analyses pour comparer les résultats de votre enquête à ceux des autres entreprises du secteur.
  3. Développez une méthodologie d'évaluation des risques, y compris la probabilité et l'impact, pour obtenir un score de risque total.
  4. Identifiez les responsables clés de votre entreprise et prenez le temps de leur demander leur avis sur les risques et leur priorisation, ainsi que sur la probabilité et l'impact des risques.
  5. Présentez les résultats de votre évaluation des risques aux dirigeants pour officialiser les principaux risques et désigner les responsables des risques.
  6. Collaborez avec les responsables des risques et mettez en place une stratégie de limitation pour les risques les plus importants.

Les étapes peuvent vous sembler laborieuses, mais elles vous permettront de bénéficier de nombreux avantages en vous donnant un ensemble clair de priorités. Vous disposerez d'une liste des risques pour l'entreprise approuvée par tous les interlocuteurs. Si la cyber-sécurité peut constituer elle-même un risque pour l'entreprise, elle aura certainement un impact sur un grand nombre, voire sur la totalité des autres risques encourus par l'entreprise, sous une forme ou une autre.

En plus d'une évaluation des risques, effectuez une analyse d'impact sur l'entreprise. Elle s'avérera essentielle pour la continuité de l'activité et la reprise après sinistre. Vous pourrez ainsi déterminer quels sont les systèmes et les processus essentiels dont votre entreprise ne peut pas se passer. Ces informations serviront de base à l'élaboration d'une stratégie de cyber-sécurité alignée sur les objectifs de l'entreprise. Vous disposerez ainsi d'une liste des risques et des processus les plus critiques pour votre entreprise, ce qui vous permettra également de déterminer où vos efforts de remédiation doivent se concentrer en priorité en temps de crise (qu'il s'agisse d'une cyber-attaque, d'une catastrophe naturelle ou d'une pandémie mondiale) et lorsque l'activité normale reprendra.

En période de stabilité, les entreprises traitent la gestion des risques de l'entreprise comme une simple obligation réglementaire qu'elles confient à une équipe de professionnels du risque isolée. Avec la pandémie de COVID-19, les dirigeants et les responsables technologie n'ont pas eu le choix et ont dû apprendre comment gérer une entreprise en temps de crise. Voyez cette crise comme une occasion de repenser votre approche de la gestion des risques pour l'entreprise, afin de mieux se préparer aux périodes diificiles et de pouvoir en retirer tous les bénéfices lors de la reprise.

* Aux fins de cette étude, l'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné un ou plusieurs des éléments suivants : la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.

Le score de Cyber Exposure : quel est le degré de sécurité de l'entreprise ?

Tenable Lumin permet aux entreprises de mesurer et de comparer efficacement leur Cyber Exposure, en interne et en externe, par rapport aux autres entreprises de leur secteur.

En savoir plus
Le score de Cyber Exposure : quel est le degré de sécurité de l'entreprise ?

Gérer votre posture de sécurité en période de changement rapide

En période de changement soudain, il est particulièrement important de comprendre comment de nouvelles stratégies d'entreprise peuvent simultanément étendre la surface d'attaque de votre entreprise et introduire de nouveaux risques. En tant que responsable sécurité, vous devez être en mesure de mesurer l'impact de ces changements sur votre posture de sécurité, tout en communiquant ces informations à vos partenaires dans toute l'entreprise dans des termes qu'ils peuvent comprendre.

Pour répondre à ces deux besoins, Tenable a créé le score de Cyber Exposure, une évaluation simple et objective qui représente une intersection entre le risque technique et le risque pour l'entreprise. Le score CES (Cyber Exposure Score) s'appuie sur la data science. Il est automatiquement mis à jour quotidiennement grâce à des d'algorithmes d'apprentissage automatique qui combinent les données de vulnérabilité avec d'autres indicateurs de risque tels que la threat intelligence et la criticité des assets. Le score combine le classement VPR (Vulnerability Priority Rating) de Tenable, qui mesure la probabilité d'exploitation et son impact potentiel, avec notre classement ACR (Asset Criticality Rating), qui suit la valeur de chaque asset affecté pour l'entreprise.

Comme l'évolution du paysage des menaces nécessite une communication permanente, Tenable vous permet également d'avoir une visibilité continue sur les tendances de la Cyber Exposure, y compris des visualisations qui montrent les améliorations ou les diminutions au fil du temps, vous donnant à vous, ainsi qu'à vos interlocuteurs clés, un aperçu de l'efficacité des programmes de sécurité. Vous pouvez consulter le score CES de votre entreprise au cours des six derniers mois et afficher les changements intervenus au cours des sept derniers jours pour signaler d'éventuels problèmes. Utilisez ces données pour suivre vos progrès dans le temps, identifier les domaines problématiques et allouer les ressources en conséquence.

Chapitre 3 : Communiquer le risque pour l'entreprise : pourquoi les indicateurs de cyber-sécurité existants sont inefficaces


Chapitre 3 : Communiquer le risque pour l'entreprise : pourquoi les indicateurs de cyber-sécurité existants sont inefficaces

Même avec une pléthore d'outils à leur disposition, les responsables InfoSec luttent pour combler le fossé entre le monde de l'entreprise et celui de la sécurité.

Comment faire part du contexte du risque pour l'entreprise de votre programme de cyber-sécurité à l'équipe dirigeante ?

Les responsables chargés de la sécurité et de la gestion des risques disposent d'un arsenal de cadres et de contrôles leur permettant de mesurer les aspects les plus granulaires de leurs programmes. Si ces indicateurs sont utiles pour aider à gérer les opérations quotidiennes des équipes de sécurité, ils ne sont pas pertinents pour communiquer avec les dirigeants.

Lorsque vous interagissez avec la direction ou même le comité d'audit (qui est le plus souvent l'entité du conseil d'administration responsable de la sécurité), les dirigeants veulent comprendre quel est l'impact de votre programme de cyber-sécurité sur la capacité de l'entreprise à créer sa valeur essentielle. Pourtant, une étude mondiale réalisée par Forrester Consulting à la demande de Tenable et portant sur plus de 800 dirigeants et responsables cyber-sécurité révèle que 66 % des dirigeants n'ont, tout au plus, qu'une confiance limitée dans la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de sécurité de leur entreprise.

Les méthodes actuelles de mesure du cyber-risque ne fournissent pas le contexte de l'activité dont les entreprises ont besoin.

Cela ne veut pas dire que les responsables sécurité ne font pas du bon travail. Ce chiffre met plutôt en lumière une réalité incontournable : les méthodes actuelles de mesure du cyber-risque ne fournissent pas le contexte de l'activité dont les entreprises ont besoin. Plus de la moitié des responsables sécurité interrogés ne sont pas convaincus de disposer de la technologie ou des processus permettant de prédire les menaces de cyber-sécurité qui vont concerner leur entreprise, tandis qu'environ deux cinquièmes d'entre eux ne sont pas sûrs de disposer des données nécessaires.

Comment calculer le cyber-risque ?

Le cyber-risque est calculé en fonction des assets, des contrôles de sécurité, des menaces et des vulnérabilités qui existent à un instant donné. Si vous ne savez pas quels assets sont les plus critiques pour permettre à votre entreprise de créer sa valeur essentielle, vous ne pouvez pas comprendre quels cyber-risques représentent une menace réelle pour votre entreprise. Une fois que vous avez identifié vos assets les plus critiques, l'étape suivante consiste à comprendre quelles sont, parmi les dizaines de milliers de menaces et de vulnérabilités auxquelles votre entreprise est confrontée chaque année, celles qui représentent réellement le plus grand risque pour ces assets essentiels.

La majorité des responsables sécurité interrogés par Forrester Consulting (56 %) n'appliquent pas les objectifs de gestion des risques pour l'entreprise à leurs processus de priorisation des vulnérabilités.

Selon l'étude Forrester, moins de 50 % des responsables sécurité inscrivent l'impact des menaces de cyber-sécurité dans le contexte d'un risque spécifique pour l'entreprise. La majorité des responsables de la sécurité interrogés (56 %) n'appliquent pas les objectifs de gestion des risques pour l'entreprise à leurs processus de priorisation des vulnérabilités. Seulement la moitié (51 %) affirment que leur département travaille en étroite collaboration avec les interlocuteurs clés de l'entreprise pour aligner les objectifs de coûts, de performances et de réduction des risques sur les besoins de l'entreprise. Et seul un responsable sécurité sur quatre affirme qu'il passe régulièrement en revue les indicateurs de performance du département de sécurité avec les intervenants clés de l'entreprise.

L'étude rend également compte des constats suivants :

  • Plus de la moitié des responsables de la sécurité (56 %) affirment que leur entreprise manque de visibilité sur la sécurité de leurs assets les plus critiques.
  • Environ 60 % des personnes interrogées déclarent avoir une visibilité élevée ou complète sur les évaluations des risques pour les employés sur site, mais seulement 52 % peuvent en dire autant lorsque les employés sont en télétravail.
  • Seulement 51 % déclarent avoir une visibilité élevée ou complète sur les systèmes utilisés par les sous-traitants ou les partenaires et 55 % déclarent la même chose pour leurs fournisseurs tiers.

Vous ne pouvez pas calculer le cyber-risque sans le placer dans le contexte de l'entreprise

Deux des questions les plus fréquemment posées aux responsables sécurité par les dirigeants et le conseil d'administration sont les suivantes :« Notre entreprise est-elle vraiment sécurisée ? » et « Où se situe notre programme par rapport à celui des autres entreprises ? ».

Mais, contrairement aux autres dirigeants, les responsables sécurité ne disposent que de données objectives limitées sur lesquelles s'appuyer pour poser l'équation de cyber-risque mêlant assets, contrôles de sécurité, menaces et vulnérabilités, et répondre à ces deux questions. Il n'existe pour le moment aucun cadre qui couvre l'intégralité de l'opération InfoSec. Les responsables sécurité travaillent donc avec un méli-mélo d'indicateurs qu'ils s'efforcent d'exploiter au mieux. Sans une mesure objective du contexte de l'entreprise pour chacun de vos assets, vos calculs de cyber-risque ne peuvent pas vous mener très loin.

Moins de la moitié des responsables sécurité interrogés par Forrester Consulting considèrent que les cadres d'analyse comparative du secteur qu'ils utilisent sont très efficaces pour rendre compte avec précision du risque pour l'entreprise.

En effet, selon l'étude Forrester, moins de la moitié des responsables sécurité considèrent que les cadres sectoriels d'analyse comparative qu'ils utilisent sont très efficaces pour rendre compte avec précision du risque pour l'entreprise. Et plus de la moitié d'entre eux affirment que l'analyse comparative qu'ils appliquent à leurs contrôles de sécurité n'est pas efficace.

En même temps, la surface d'attaque de toute entreprise implique tellement de variables qu'établir des indicateurs de sécurité approuvés par l'ensemble du secteur semble être un projet utopique, tout du moins pour le moment. Aucune entreprise ne peut prétendre être sécurisée à 100 %. Un responsable sécurité ne dispose que d'un seul indicateur : un calcul éclairé de ce qui est considéré comme un niveau de risque acceptable, ce qui lui permet de prendre des décisions de gestion sur la marche à suivre une fois qu'un niveau d'exposition raisonnable est atteint.

Alors, comment pouvez-vous utiliser les outils à votre disposition pour commencer à combler le fossé entre la cyber-sécurité et l'entreprise ?

Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Une étude menée auprès de 800 dirigeants et responsables cyber-sécurité du monde entier par Forrester Consulting

Télécharger maintenant
Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Utiliser les données dont vous disposez pour obtenir les résultats que vous souhaitez

Le risque est relatif, et non absolu. Votre entreprise sera toujours exposée à des risques. La question est de savoir si les initiatives prises par les responsables ont réduit ou augmenté ces risques. Les options d'évaluation de la sécurité actuellement disponibles sur le marché vous donnent un point de départ qui vous permet d'améliorer votre programme de sécurité.

Il n'existe pas d'approche universelle permettant d'identifier les indicateurs clés de risque qui importent le plus pour votre entreprise. Tout ce que les responsables sécurité peuvent faire, en tant que professionnels du secteur, c'est travailler ensemble pour créer les indicateurs de risque pour l'entreprise qui seront les plus utiles aux dirigeants.

À cette fin, le CSO de Tenable, Robert Huber, a fourni la liste suivante de questions concrètes qui lui ont été posées par des membres de conseil d'administration et des dirigeants au cours de sa carrière. Prenez ces exemples en considération lorsque vous préparez vos propres réunions avec l'équipe de direction de votre entreprise.

  1. Quels sont nos risques, fonctions et assets les plus critiques et où se trouvent-ils ?
  2. Que faites-vous pour les protéger ?
  3. Quel est le degré de maturité de notre programme par rapport au secteur et aux autres équipes en interne ?
  4. Quelle est votre feuille de route pour améliorer notre maturité ?
  5. L'effectif des équipes qui travaillent dans notre programme de sécurité est-il comparable à celui de nos concurrents ou d'autres entreprises du secteur ?
  6. Nos fonctions les plus stratégiques sont-elles plus sûres aujourd'hui qu'il y a un an ?
  7. Que faisons-nous concernant (insérer ici la dernière vulnérabilité qui fait les gros titres) ?

Les questions ci-dessus vous donneront peut-être des idées d'autres indicateurs de risque pour l'entreprise qui selon vous méritent d'être mesurés afin que, de manière globale, les responsables sécurité puissent mettre en place des stratégies de cyber-sécurité encore mieux alignées sur les objectifs de l'entreprise.

Introduire un langage commun pour communiquer votre stratégie de sécurité aux dirigeants et au conseil d'administration

Combler le fossé entre les dirigeants et les responsables sécurité est un défi. Les responsables sécurité ont besoin de meilleurs outils pour répondre aux questions posées par leurs interlocuteurs au sein de l'entreprise. L'étude Forrester met en évidence la nécessité de disposer d'un outil capable de fournir à la fois une mesure claire et concise du risque que les dirigeants peuvent exploiter et toutes les fonctionnalités dont ont besoin les équipes de sécurité. C'est là que Tenable Lumin entre en jeu.

  • Calculez et communiquez votre Cyber Exposure
    Obtenez une mesure objective du cyber-risque grâce au score CES en associant les données de vulnérabilité à d'autres indicateurs de risque, tels que la threat intelligence et la criticité des assets. Le score CES peut s'appliquer à tout groupe d'assets, qu'il s'agisse d'un seul asset ou de tous les assets de l'entreprise. Grâce à ces informations, vous pouvez prioriser vos efforts pour protéger vos fonctions et vos assets les plus essentiels et rendre compte de vos progrès.
  • Suivez vos progrès dans le graphique des tendances de Cyber Exposure
    Les visualisations avancées vous aident à comprendre les tendances et ainsi à mesurer l'efficacité de votre programme de sécurité. Suivez le score CES de votre entreprise au cours des six derniers mois et afficher les changements intervenus au cours des sept derniers jours pour signaler d'éventuels problèmes. Vous pouvez utiliser ces données pour suivre vos progrès dans le temps, identifier les domaines problématiques et allouer les ressources en conséquence.
  • Comparez votre niveau de maturité à celui des autres entreprises du secteur
    Les entreprises peuvent comparer leurs résultats à ceux d'autres entreprises du secteur afin de détecter rapidement leurs failles et leurs atouts. Les analyses comparatives sont disponibles pour un certain nombre d'indicateurs clés, tels que le score CES et la maturité des pratiques d'évaluation. Elles fournissent une base de référence pour analyser et comparer l'efficacité de vos opérations de sécurité par rapport à d'autres entreprises dans votre secteur, ainsi que des moyennes générales.
  • Analysez les lacunes et les meilleures pratiques au sein de votre entreprise
    Le score CES pouvant s'appliquer à tout groupe d'assets, les équipes de sécurité peuvent comparer les groupes opérationnels internes entre eux (par exemple, les unités métier, les environnements informatiques ou les succursales). Cette analyse permet de donner la priorité aux domaines où l'exposition est élevée, et d'identifier les bonnes pratiques dans l'ensemble de l'entreprise. Les regroupements d'assets peuvent être entièrement personnalisés grâce aux marqueurs existants, qui vous permettent d'analyser votre entreprise par segments.

Chapitre 4 : Cinq étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise


Chapitre 4 : Cinq étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Lorsque les responsables sécurité et les dirigeants s'accordent sur les données contextuelles à utiliser, ils obtiennent des résultats tangibles. Voici comment y parvenir.

Les responsables cyber-sécurité sont submergés de données. Vous savez combien de vulnérabilités existent. Vous savez combien de correctifs vous avez déployés. Vous savez tout ce qu'il faut savoir sur les dernières menaces. Pourtant, avec toutes ces informations à votre disposition, vous pouvez encore avoir du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? » en toute confiance.

Pourquoi ? Parce qu'il vous manque une information essentielle : le contexte de l'entreprise.

L'équation typique utilisée pour calculer le niveau de sécurité ou de vulnérabilité d'une entreprise mêle assets, contrôles de sécurité, menaces et vulnérabilités. Sans contexte de l'entreprise (sans comprendre quels assets sont les plus critiques pour permettre à l'entreprise de créer sa valeur essentielle et quels contrôles de sécurité sont en place pour chacun de ces assets), les résultats de tout calcul de risque de sécurité sont, au mieux, incomplets.

Mais les responsables sécurité ne peuvent pas comprendre le contexte de l'entreprise en travaillant en vase clos. Il faut atteindre un niveau d'alignement stratégique entre les dirigeants et les responsables cyber-sécurité qui fait défaut dans la plupart des entreprises. L'étude de Forrester Consulting montre qu'il existe un fossé important entre les dirigeants et les responsables sécurité : seuls 54 % des responsables sécurité et 42 % des dirigeants interrogés affirment que leurs stratégies de cyber-sécurité sont parfaitement ou étroitement alignées sur les objectifs de l'entreprise. Moins de la moitié des responsables sécurité interrogés déclarent consulter très fréquemment les dirigeants lorsqu'ils développent leur stratégie de cyber-sécurité. Pire encore, quatre dirigeants sur dix consultent rarement (voire jamais) les responsables sécurité lorsqu'ils développent les stratégies d'entreprise de leur département.

Seuls 54 % des responsables sécurité et 42 % des dirigeants interrogés par Forrester Consulting déclarent que leurs stratégies de cyber-sécurité sont totalement ou étroitement alignées sur les objectifs de l'entreprise.

Pourtant, l'étude montre que lorsque la sécurité est alignée sur les objectifs de l'entreprise, les résultats obtenus sont remarquables. Par exemple, les responsables sécurité alignés sur les objectifs de l'entreprise :

  • Sont préparés à rendre compte du niveau de sécurité et de risque. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise.
  • Sont prêts à démontrer le retour sur investissement de leurs initiatives de sécurité. La grande majorité des responsables sécurité alignés sur les objectifs de l'entreprise (85 %) ont défini des métriques pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.
  • Ont un processus d'analyse comparative défini. Près de neuf responsables sécurité alignés sur les objectifs de l'entreprise sur dix (86 %) ont un processus qui articule clairement les attentes et démontre une amélioration continue du processus par rapport aux autres entreprises et/ou groupes internes. Seuls 32 % de leurs homologues non alignés peuvent en dire autant.

Cela ne veut pas dire que la responsabilité de l'alignement repose entièrement sur les épaules du responsable sécurité. Certaines entreprises sont culturellement prédisposées à créer des environnements cloisonnés. Quels que soient les efforts que vous y consacriez, si vous travaillez pour l'une de ces entreprises, vous aurez toujours du mal à vous aligner sur vos interlocuteurs clés dans l'entreprise.

Si vous n'êtes pas sûr de la position de votre entreprise en matière d'alignement, il y a un moyen rapide de le savoir : si l'entreprise a créé un poste de BISO (Business Information Security Officer), votre entreprise se situe à l'extrémité la plus mature de l'échelle de l'alignement. Selon l'étude Forrester, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement.

Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Une étude menée auprès de 800 dirigeants et responsables cyber-sécurité du monde entier par Forrester Consulting

Télécharger maintenant
Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise

Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Si vous avez la chance de travailler pour un département qui est déjà bien aligné sur les objectifs de l'entreprise, la voie à suivre pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise sera assez claire, même si elle vous demandera des efforts considérables. Mais si vous travaillez pour un département encore peu mature dans ce domaine, la tâche sera encore plus ardue pour vous. Comme il n'existe pas d'approche unique, les lignes directrices suivantes proposent des options adaptées à chacun des trois grands niveaux de maturité.

Cinq étapes pour améliorer l'alignement sur les objectifs de l'entreprise à chaque niveau de maturité

1 Assurez-vous que vous comprenez les objectifs de votre entreprise pour l'année.
Alignement faible

Vous devez très probablement faire vos propres recherches, en consultant des documents disponibles au grand public, tels que les prévisions de bénéfices et les états financiers, afin de vous faire une idée assez précise des priorités de l'entreprise.

Alignement moyen

Il vous faut éventuellement participer à des appels avec des vice-présidents, rejoindre des réunions générales de votre entreprise et chercher d'autres moyens pour mieux vous intégrer à vos collègues dirigeants.

Alignement élevé

Vous avez obtenu ou devez vous efforcer d'obtenir un siège aux réunions hebdomadaires tenues par les cadres dirigeants et vous êtes régulièrement invité à faire des présentations devant le conseil d'administration.

2 Réfléchissez à la façon dont ces objectifs influencent les décisions technologiques.
Alignement faible

Vous devrez éventuellement vous appuyer sur les relations avec vos collègues de toute l'entreprise pour avoir une meilleure idée des systèmes et assets les plus critiques. Faites notamment attention aux pannes et aux incidents qui se sont déjà produits pour repérer les zones perçues comme importantes.

Alignement moyen

Vous devez éventuellement organiser des appels avec les vice-présidents ou d'autres dirigeants pour comprendre quels sont les systèmes les plus importants.

Alignement élevé

Effectuez une évaluation de l'impact sur l'entreprise en interrogeant les principaux dirigeants afin de bien comprendre quels sont les systèmes les plus essentiels au fonctionnement quotidien de l'entreprise.

3 Collaborez avec les interlocuteurs clés de l'entreprise pour vous assurer que les indicateurs de cyber-sécurité tiennent compte du contexte de l'entreprise.
Alignement faible

Vous devez éventuellement utiliser des sources externes, par exemple vous rendre à des événements sectoriels, lire des études de cas ou participer à des groupes de networking, pour avoir une vue d'ensemble des besoins d'entreprise courants et des principaux indicateurs de sécurité et pour identifier lesquels fonctionnent pour votre entreprise.

Alignement moyen

L'élaboration de tels indicateurs peut être difficile si vous n'êtes pas en relation directe avec des dirigeants qui peuvent vous aider à définir le contexte de l'entreprise. Vous devez établir des liens avec des directeurs ou des dirigeants et consulter vos homologues du secteur pour comprendre quels sont les indicateurs les plus pertinents pour votre entreprise.

Alignement élevé

Cette étape consiste autant à savoir quelles sont les bonnes questions à poser qu'à identifier un petit nombre de métriques les plus significatives pour votre entreprise.

4 Priorisez vos actions de cyber-sécurité en fonction des enseignements que vous avez tirés des étapes ci-dessus.
Alignement faible

Vous pouvez commencer par évaluer les lacunes de votre processus (comme le manque de données sur la criticité des assets) et développer une feuille de route pour combler chaque lacune au fil du temps.

Alignement moyen

Vous pouvez intégrer les données sur la criticité des assets aux données sur les menaces et les vulnérabilités pour passer à une approche davantage basée sur le risque.

Alignement élevé

Utilisez l'automatisation et appliquez les objectifs de gestion des risques pour l'entreprise aux pratiques de priorisation des menaces et des vulnérabilités en utilisant une approche prédictive.

5 Communiquez en utilisant des critères de référence qui ont un sens pour les dirigeants.
Alignement faible

Envisagez de collaborer avec des conseillers externes pour vous aider à apprendre le vocabulaire de la gestion d'entreprise. Ce faisant, vous renforcerez sans doute la confiance de vos dirigeants dans l'évaluation non seulement des risques, mais aussi de l'entreprise elle-même.

Alignement moyen

Vous devez éventuellement vous fier davantage à votre sens de l'observation ; soyez attentif au langage utilisé par vos collègues dirigeants et adaptez le vôtre en conséquence.

Alignement élevé

Même dans une entreprise très alignée, la subjectivité des cadres existants et l'absence de consensus sectoriel sur les indicateurs clés de risque peuvent compliquer les choses. Néanmoins, si vous avez déjà atteint un degré élevé d'alignement, les membres du conseil d'administration apprécieront probablement que vous leur disiez franchement quels indicateurs sont nécessaires, et lesquels ne le sont pas, dans vos rapports.

Source : Tenable, août 2020.

Devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise est un marathon, pas un sprint. Vous devez apprendre à manier le vocabulaire de la gestion d'entreprise aussi bien que le jargon technique. Mais, comme le note l'étude Forrester, « les menaces de sécurité modernes exigent une nouvelle approche ». L'avenir appartient aux responsables sécurité qui sont prêts à gérer la cyber-sécurité comme un risque pour l'entreprise.

Chapitre 5 : La journée type d'un responsable sécurité aligné sur les objectifs de l'entreprise


Chapitre 5 : La journée type d'un responsable sécurité aligné sur les objectifs de l'entreprise

L'avenir appartient aux responsables cyber-sécurité qui peuvent aligner leurs objectifs sur ceux de l'entreprise, tout en comprenant le risque encouru par l'entreprise. Voici huit actions quotidiennes que vous pouvez mettre en œuvre  pour y parvenir.

Dans les chapitres précédents, nous avons expliqué comment les limites liées aux technologies, aux processus et aux données mis à la disposition des responsables InfoSec aggravent le fossé entre la cyber-sécurité et l'entreprise. Mais nous ne pouvons pas conclure cette discussion sans parler des facteurs humains qui sont au cœur de ce décalage.

Les RSSI et autres responsables cyber-sécurité ont une place particulière au sein de l'équipe dirigeante. Ils doivent maitriser le langage technique et le langage de l'entreprise. Pourtant, contrairement à leurs collègues de la direction financière ou du service commercial (qui peuvent avoir un diplôme en gestion d'entreprise ou une formation similaire) de nombreux responsables cyber-sécurité ont une formation technique, par exemple en informatique. Les responsables InfoSec gravissent généralement les échelons des postes techniques d'une entreprise. Cela vous désavantage immédiatement lorsque vous arrivez enfin à un poste de cadre supérieur ou de dirigeant.

Les RSSI et autres responsables cyber-sécurité ont une place particulière au sein de l'équipe dirigeante. Ils doivent maitriser le langage technique et le langage de l'entreprise.

La technologie est votre première langue. Les outils et les processus que vous utilisez sont tous basés sur le langage technique et vous donnent des résultats que vous pouvez clairement exprimer dans votre « langue maternelle ». La plupart d'entre vous ont appris le langage de l'entreprise en deuxième langue, mais il existe toujours un fossé entre vous et les dirigeants, en partie parce que les outils et les cadres que vous utilisez dans votre travail ne facilitent pas la traduction.

Une journée de travail bien remplie

Une étude de l'institut SANS de 2003 a formulé ainsi les défis qui restent d'actualité à ce jour : « les responsabilités des [RSSI] sont uniques. Même celles des CIO ne sont pas aussi étendues. » L'étude SANS précise que les responsabilités suivantes sont parmi les plus importantes exercées par la plupart des RSSI :

  • Agir en tant que représentant de l'entreprise lorsque les clients, les partenaires et le grand public posent des questions sur la stratégie de sécurité de l'entreprise.
  • Agir en tant que représentant de l'entreprise lors des échanges avec les forces de l'ordre tout en recherchant l'origine des attaques réseau et du vol d'informations par des employés.
  • Trouver un équilibre entre les besoins de sécurité avec le plan d'activité stratégique de l'entreprise, identifier les facteurs de risque et trouver des solutions.
  • Élaborer des politiques et des procédures de sécurité qui assurent une protection adéquate des applications d'entreprise sans interférer avec les besoins essentiels de l'activité.
  • Planifier et tester les réponses aux violations de sécurité, y compris la possibilité de parler de l'événement avec les clients, les partenaires ou le grand public.
  • Superviser les tests de sélection, le déploiement et la maintenance des produits matériels et logiciels de sécurité ainsi que les accords d'externalisation.
  • Superviser une équipe d'employés chargés de la sécurité de l'entreprise, allant des techniciens de réseau qui gèrent les pare-feu aux agents de sécurité.

Compte tenu de l'étendue de vos responsabilités, vous avez peut-être du mal à savoir comment organiser votre temps au cours d'une journée. La plupart des responsables sécurité préféreraient rester dans leur zone de confort et se focaliser sur les trois dernières responsabilités (plus techniques) en passant leurs journées à planifier les incidents et à superviser des opérations conçues pour minimiser la probabilité que des attaques se produisent.

Mais si vous restez dans votre zone de confort, vous ne pourrez pas protéger votre entreprise. Selon l'étude de Forrester Consulting, 94 % des entreprises ont subi une cyber-attaque au cours des 12 derniers mois qui a entraîné au moins l'une des conséquences suivantes : perte de données client, de données employé ou d'autres données confidentielles, interruption des opérations quotidiennes, versement d'une rançon, perte financière ou détournement de fonds et/ou vol de propriété intellectuelle. Et la grande majorité des répondants (77 %) s'attendent à ce que les cyber-attaques augmentent dans les deux prochaines années.

L'étude révèle également que 66 % des dirigeants n'ont, tout au plus, qu'une certaine confiance en la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de sécurité de leur entreprise.

Devenir un responsable sécurité aligné sur les objectifs de l'entreprise en 8 étapes

Il est clair que quelque chose doit changer. Les responsables sécurité doivent trouver des moyens pour mieux s'aligner sur les objectifs de l'entreprise. Et cela exige des efforts quotidiens. Vous devez être attentif à la façon dont vous priorisez vos différentes tâches pour vous assurer d'avoir structuré les opérations de manière à avoir suffisamment de temps à consacrer à l'alignement sur les objectifs de l'entreprise. Voici huit pratiques que vous pouvez intégrer dans votre vie quotidienne et qui vous mettront sur la voie d'un avenir aligné sur les objectifs de l'entreprise :

  1. Passez du temps chaque jour à examiner les communications externes de votre entreprise. Soyez attentif à ce que les dirigeants de votre entreprise communiquent par le biais des états financiers, des communiqués de presse, des articles de presse, des sites de médias sociaux et des forums du secteur.
  2. Prévoyez du temps avec les dirigeants pour comprendre leurs défis quotidiens et nouer des liens avec eux. Demandez-leur de quelle manière leurs performances sont mesurées. Aidez-les à considérer la sécurité comme un outil qui répond à leurs besoins plutôt que comme un obstacle. Ainsi, ils seront plus enclins à vous impliquer plus en amont dans leurs plans stratégiques.
  3. Tenez-vous au courant des priorités et des défis auxquels sont confrontées les entreprises de votre secteur. Rejoignez des associations ou des organisations professionnelles, lisez des articles B2B dans des revues spécialisées, participez à des webinaires et à d'autres événements du secteur. Ce faisant, vous acquerrez un vocabulaire usuel et des perspectives importantes pour vous aider à mieux aligner vos initiatives de sécurité sur les besoins uniques de votre entreprise.
  4. Discutez régulièrement avec les membres de l'équipe dirigeante pour savoir ce qui les préoccupe. Ce n'est qu'en comprenant les problèmes rencontrés par l'entreprise au sens large que vous pourrez commencer à développer une compréhension globale de ce que le « risque » signifie réellement pour votre entreprise.
  5. Utilisez les rapports trimestriels d'activité pour en savoir plus sur l'entreprise. Écoutez attentivement les priorités stratégiques et les difficultés rencontrées par vos homologues et prenez en compte les facteurs externes qui les influencent. Soyez attentif à la façon dont chaque dirigeant démontre un retour sur investissement et adaptez vos propres indicateurs de retour sur investissement en conséquence.
  6. Développez un réseau de conseillers de confiance au sein de l'entreprise. Entourez-vous de mentors issus de tous les domaines de l'entreprise pour vous guider et vous aider à communiquer plus efficacement.
  7. Nouez des liens avec les professionnels du risque au sein de votre entreprise. La cyber-sécurité est à la fois un risque en soi et un facteur dans les conversations concernant tous les autres risques pour l'entreprise. Découvrez comment vous pouvez participer efficacement à l'élaboration de stratégies de gestion des risques pour l'entreprise qui placent la cyber-sécurité au premier plan.
  8. Soyez attentif aux relations que l'entreprise entretient avec des tiers. Vous connaissez peut-être les relations clés avec des tiers, comme les fournisseurs qui s'occupent de la paie ou de la planification des ressources de l'entreprise. Mais quel est votre degré de visibilité sur les outils et les plateformes utilisés par votre équipe web ou par les prestataires de service et de support qui assurent la maintenance des technologies opérationnelles de votre entreprise ?

Trouver du temps pour appliquer toutes ces étapes, en plus de remplir efficacement tous les autres aspects de votre rôle, peut sembler une tâche écrasante. Vous ne pourrez pas tout faire en même temps. Choisissez une ou deux étapes, celles qui vous parlent le plus, et commencez par là. Si vous choisissez activement de sortir de votre zone de confort et de vous aligner davantage sur les objectifs de l'entreprise, votre entreprise ne sera pas la seule à en profiter. Vous ferez également évoluer votre carrière en vous donnant les moyens de figurer parmi ceux qui pilotent les stratégies de gestion des risques pour l'entreprise.

Outils que vous pouvez utiliser pour vous aligner sur les objectifs de l'entreprise

Tenable vous donne les outils requis pour connaître l'ensemble de votre surface d'attaque, prédire ce qui compte et agir face au risque. Pouvoir répondre de façon claire, fiable et précise à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? » est indispensable pour tout responsable sécurité aligné sur les objectifs de l'entreprise.

Obtenez une visibilité totale

Comme le paysage des menaces est en constante évolution, vous avez besoin d'une évaluation continue et approfondie de votre surface d'attaque convergée grâce à un dashboard en temps réel qui vous donne une connaissance claire des zones qui sont exposées. Tenable offre une visibilité sur les outils et les technologies qui alimentent les stratégies d'entreprise modernes : le cloud, les conteneurs, l'infrastructure, l'OT (technologies opérationnelles), les applications web et bien plus encore. Ce sont ces mêmes outils qui élargissent la surface d'attaque de l'entreprise et introduisent un risque pour l'activité. Avec Tenable, vous êtes en mesure d'évaluer l'état de chaque asset, y compris les vulnérabilités, les mauvaises configurations et d'autres indicateurs de santé. Les scans actifs, les agents, la surveillance passive et les connecteurs cloud de Tenable vous offrent une visibilité continue sur tous vos assets, qu'ils soient connus ou jusque là insoupçonnés. Tenable offre la prise en charge des CVE et des configurations de sécurité la plus étendue du secteur pour vous aider à voir et à comprendre toutes vos expositions.

Prédisez ce qui est important

Les entreprises sont submergées de vulnérabilités. Alors que plus de 17 000 nouvelles vulnérabilités ont été annoncées en 2019, moins de 7 % des exploits actifs ont été publiés. Il est essentiel d'identifier les vulnérabilités les plus dangereuses avant qu'elles ne soient utilisées dans une attaque. Avec plus de deux décennies d'expérience et des algorithmes d'apprentissage automatique tirés d'un data lake de 5 pétaoctets contenant plus de 20 000 milliards de données de menaces, de vulnérabilités et d'assets évalués en continu, Tenable vous permet d'identifier les vulnérabilités, les assets et les risques les plus importants pour votre entreprise et pour l'exécution sécurisée de vos stratégies d'entreprise. L'approche prédictive de Tenable vous permet de prioriser vos efforts en fonction des menaces existantes et émergentes et de leur impact potentiel sur votre entreprise. Ainsi, vous pouvez vous concentrer sur les vulnérabilités que les attaquants sont le plus susceptibles d'exploiter et les corriger en priorité.

Agissez pour répondre au risque

Les stratégies de sécurité réactives, cloisonnées et tactiques empêchent les responsables sécurité de se faire une idée précise de la santé de leur entreprise en matière de cyber-sécurité et des menaces qui représentent le plus grand risque. Il est donc difficile de prendre des mesures et de communiquer efficacement entre équipes, et avec les interlocuteurs clés de l'entreprise. Tenable fournit des indicateurs permettant de mesurer le cyber-risque et la maturité d'un programme afin d'améliorer les processus organisationnels, de répondre aux risques et de communiquer les résultats clairement, en toute confiance. S'aligner sur ces indicateurs permet d'utiliser un langage commun et de trouver un équilibre entre transformation rapide de l'entreprise et posture de sécurité appropriée. Les fonctions Tenable de quantification des expositions et d'analyse comparative vous permettent de comparer l'efficacité de vos différents groupes internes entre eux et par rapport aux autres entreprises. Vous obtenez ainsi des indicateurs essentiels pour la budgétisation, l'allocation des ressources et l'amélioration des processus.

Grâce à Tenable, vous pouvez facilement identifier les domaines à améliorer et optimiser les investissements de sécurité. Que vous soyez analyste ou dirigeant, les visualisations représentant l'ensemble de la surface d'attaque vous permettent de comprendre, de communiquer et d'agir rapidement pour réduire la Cyber Exposure de votre entreprise.

COPYRIGHT 2020 TENABLE, INC. TOUS DROITS RÉSERVÉS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW ET LOG CORRELATION ENGINE SONT DES MARQUES DÉPOSÉES DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE ET THE CYBER EXPOSURE COMPANY SONT DES MARQUES DÉPOSÉES DE TENABLE, INC. TOUS LES AUTRES PRODUITS OU SERVICES SONT DES MARQUES DE COMMERCE DE LEURS PROPRIÉTAIRES RESPECTIFS.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre essai de Tenable Vulnerability Management inclut également Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion des expositionsTenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de l'exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation