Risques cyber : créer un langage commun pour renforcer la posture de sécurité

Un nouveau monde s'est ouvert avec le pouvoir de la donnée. Définir un cadre de gouvernance solide de la gestion des risques cyber est vitale, et RSSI et DSI sont en première ligne.

La sécurité informatique est désormais un enjeu majeur pour l’entreprise. Les chiffres le démontrant ne manquent pas à l’appel, et chaque jour voit son lot d’attaques cyber faire la une des journaux. Si des solutions de protection existent, celles-ci sont difficilement pérennes. La diversité et la sophistication des cyberattaques expliquent que RSSI et DSI soient en permanence sur le qui-vive.  

Une gouvernance structurée et transverse permet de s’y préparer. Fondée sur une analyse complète des risques, elle définit clairement les responsabilités et permet de construire les canaux de collaboration internes qui feront le succès de la fonction.

Poser les fondations

Pour le RSSI, la première étape consiste à évaluer le niveau d’hygiène de base de la sécurité informatique de l’entreprise. Connaitre les actifs et les données, puis mettre en place une stratégie de correction efficace, rechercher les vulnérabilités connues, s’assurer que les données soient chiffrées en transit et au repos, adopter une approche de restrictions des accès, et éduquer les utilisateurs sur les menaces d’ingénierie sociale et sur la manière de traiter les données critiques.

Idéalement, l’entreprise ne devrait pas rechercher la « sécurité », mais se concentrer sur la conduite des affaires « en toute sécurité ». Et pour cela, le rôle d’un RSSI doit être transverse et accompagner la collaboration entre responsables de la sécurité et responsables des opérations. Nombre de ces équipes ne communiquent pas assez encore pour faire face à la croissance de la menace cyber, avec des conséquences désastreuses pour l’entreprise.

Définir un référentiel

La priorité suivante est d’établir un cadre de contrôles communs à l’entreprise, qui définisse la posture de sécurité ciblée sur les différentes surfaces d’attaque. Pour se faire, les normes ISO 27000 ou encore le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) et du CIS (Center For Internet Security) permettent d’instaurer des standards de qualité et un catalogue de bonnes pratiques qui ensemble, aident à garantir l’exhaustivité des contrôles.

Les cadres standards de l’industrie comme le NIST et le CIS sont complets et constituent un bon point de départ. Mais la description du contrôle n’est basée que sur l’activité et ne décrit pas comment mesurer l’efficacité du contrôle. Il est donc nécessaire de réécrire la définition de ces contrôles, de manière à ce qu’ils décrivent l’intention du contrôle (et non l’activité de mise en œuvre du contrôle). L’efficacité de ces contrôles peut ensuite être évaluée par des indicateurs clés de performance (KPI) et des accords de niveau de service (SLA), et la responsabilité de chacun peut être mise en place.

Mesurer l’efficacité des contrôles

Pour de nombreux contrôles, c’est aussi simple que « le contrôle est-il efficace ou non ? », par exemple, les données sont-elles chiffrées ou non ? Pour d’autres contrôles, il existe une fourchette d’efficacité où les KPI et les SLA sont définis comme « efficaces », « plutôt efficaces », « partiellement efficaces » et « non efficaces ». Par exemple : si le risque de 90 % des fournisseurs a été évalué, alors l’intention du contrôle est « efficace », alors que si 60 % des fournisseurs l’ont été, il est « partiellement efficace ». Cette approche permet donc une meilleure visibilité de la posture plus globale de sécurité. 

Par ailleurs, si traditionnellement le risque est évalué à l’aide de la formule (probabilité X impact), ces deux composantes devraient être évaluées différemment ; par exemple en mesurant l’« impact » en valeur financière, quel que soit le type d’impact. La valeur de la marque, la satisfaction du client, la position sur le marché sont des types d’impact auxquels peut être attribuée une valeur monétaire. Cela crée un langage commun qui est réel pour les dirigeants d’entreprises, contrairement aux évaluations conceptuelles telles que « critique », « élevé », etc. En termes de probabilité du risque, plutôt que de mesurer le potentiel d’une défaillance, il vaut mieux se concentrer sur la probabilité que l’impact puisse avoir (financièrement) sur les 12 mois à venir, ce faisant, le niveau de risque intrinsèque devient réel.

Renforcer la posture de sécurité dans un monde multi-cloud

La plupart des entreprises suivent une stratégie de type « cloud first/SaaS first ».   Cette approche peut être angoissante pour les RSSI car ils étendent leur posture de sécurité au-delà de ce qu’ils peuvent directement contrôler. Cela nécessite une collaboration étroite avec le responsable interne de l’entreprise et le partenaire, et il est essentiel de s’assurer que les partenaires de cloud / SaaS répond aux exigences en matière de posture de sécurité.

En suivant cette approche, le RSSI devient un facilitateur pour l’entreprise tout en étant responsable de la posture globale de sécurité. Cette approche permet également de lutter contre la prolifération de l’informatique parallèle. 

Regarder vers l'avenir

S’il faut vouloir avancer, il ne faut pas non plus vouloir aller trop vite. L’un des défis majeurs auxquels sont confrontés les RSSI est le recrutement ; trouver le ou la bon(ne) candidat(e), avec les compétences adéquates, au moment le plus opportun est l’une des équations les plus difficiles à résoudre, particulièrement dans le marché actuel.

L'établissement de partenariats solides peut considérablement accélérer la maturité du dispositif de sécurité, tandis que les RSSI mettent en place des équipes internes dans la longévité et en lien avec les objectifs de l’entreprise.

Dans cette optique, mettre en œuvre une stratégie « cloud first » peut être un bon moyen de guider les investissements informatiques futurs. Le RSSI doit rester combattif avec le mouvement vers le cloud. Beaucoup de responsables IT et dirigeants d’entreprises font face à un certain niveau de dette technologique qu’ils doivent combler. De nouvelles transitions vers le cloud et l'exploitation de ses capacités pourraient contribuer à résorber ce fossé.