Appellez-nous au (+34) 63 84 555 72

Gouvernance de la cybersécurité


Savoir anticiper les risques

De nombreuses organisations reconnaissent aujourd’hui que la cybersécurité est un risque majeur qui requiert toute leur attention. Cependant, nombre d’entre elles rencontrent des difficultés à mettre en place une approche à la fois pragmatique, efficace et globale, qui permette réellement d’adresser ce risque, plutôt que d’appliquer une approche standardisée. S’il existe de nombreuses méthodologies autour de la cybersécurité, peu d’entre elles sont suffisamment pratiques pour accompagner les entreprises face à cet enjeu majeur. Voici 7 principes concrets pour la mise en œuvre d’une bonne gestion de votre cybersécurité.

1. Comprendre le risque réel
Nombreuses sont les entreprises qui n’ont pas aujourd’hui une compréhension précise de quelle pourrait être l’origine des attaques de cybersécurité contre leur activité, de ce qui pourrait les rendre vulnérables et de quelle manière une attaque réussie pourrait les impacter. Cette compréhension doit s’étendre au-delà du seul périmètre de l’entreprise en intégrant la complexité de l’écosystème digital et en prenant en compte son environnement externe : fournisseurs, prestataires de services, partenaires, services cloud, collaborateurs et clients. Développer cette compréhension et la maintenir à jour est essentiel pour s’assurer que l’entreprise peut apporter une réponse adaptée aux risques de cybersécurité.

2. Disposer de capacité et de ressources adaptées
Mettre en œuvre un programme de cybersécurité efficace requiert des ressources compétentes, adaptées et en nombre suffisant pour construire une architecture d’entreprise sécurisée. Les comités de direction doivent être confiants dans la capacité de leur fonction Sécurité à adresser une réponse globale à un problème de cybersécurité et leur capacité à déployer les moyens nécessaires pour répondre rapidement aux incidents. Dans ce dispositif, la direction d’une entreprise a un rôle central à jouer.

3. Développer une approche globale

Une approche globale de gestion de la cybersécurité ne signifie pas seulement mettre en place et dérouler les contrôles associés. Celle-ci doit également permettre de réduire la complexité du patrimoine technologique de l’entreprise (à l’intérieur et à l’extérieur de l’entreprise), de prendre en compte les processus et les enjeux métier ainsi que la dimension humaine de plus en plus visée par les cyber-attaques. Finalement, elle doit inscrire la question de la cybersécurité au cœur des décisions de l’entreprise. Les failles de sécurité liées aux processus internes de l’entreprise sont souvent omis bien qu’ils représentent une cible de choix comme par exemple, l’accès à des services online, dont la sécurité est souvent trop faible.

4. Tester sa cybersécurité et mener des revues indépendantes
Comme pour d’autres sujets, il est nécessaire de faire valider sa stratégie par un tiers. Cela peut être réalisé par des experts au travers d’une revue indépendante de l’approche et des moyens mis en place en termes de cybersécurité. Cet accompagnement peut aller jusqu’à la certification de certains processus. La robustesse des systèmes et des contrôles en place se doivent d’être testées par une approche « red team », faisant appel à des auditeurs expérimentés qui pourront valider l’efficacité d’une réponse globale à une cyber-attaque.

5. Se préparer et suivre les incidents

Les incidents de cybersécurité sont inévitables. Les entreprises doivent non seulement se doter d’une gouvernance qui adresse les risques de cybersécurité mais aussi et surtout, d’une gouvernance qui sait quelles mesures mettre en place lorsque le risque se matérialise. Il est vital pour l’entreprise de s’assurer qu'il existe des processus de réponses à des incidents ciblées, résultats de scénarios d'attaques probables, et qu’ils sont testés régulièrement. La prise en compte de la seule dimension technologique n’est pas suffisante. Une vision plus large intégrant les enjeux métiers, l’e-réputation ainsi que les risques réglementaires et légaux, est primordiale. Les incidents de cybersécurité doivent ainsi être suivis, reportés aux bons niveaux de l’organisation, et des enseignements doivent en être tirés.

6. Mettre en perspective l’approche de cybersécurité par rapport aux exigences réglementaires et légales

La cybersécurité évolue au sein d’un environnement réglementaire et légal d’une complexité croissante. Les normes industrielles, la protection des données à caractère personnel, les exigences de sécurité nationales ou de traçabilité des produits sont autant d’exemples de contraintes réglementaires qui nécessitent d’être suivis et maintenus à jour au sein de chaque entreprise.

7. S’appuyer sur sa communauté

Aucune organisation ne peut aujourd’hui se protéger en s’isolant du monde extérieur. Les cyber-attaques ciblent souvent une organisation afin d’en atteindre une autre, et répliquent des attaques réussies rapidement. C’est pourquoi la collaboration est essentielle : entre entreprises de la même industrie, entre secteur public et privé, entre entreprise et instances réglementaires, et même avec les pairs et partenaires.

Par Océane Lauro, le 08 mars 2017

Source : https://transformation-digitale.pwc.fr