ActualitésTechno

Les bonnes pratiques à adopter lors de la création d’un programme de cybersécurité

David GROUT, Chief Technology Officer, EMEA de Mandiant

Comment cartographier votre parcours en matière de cyber-risque ? Découvrez les points essentiels à mettre en œuvre.

Le cyber-risque est un sujet vaste et profond, et il n’existe pas de processus, de technologie ou de solution unique pour le réduire. Les programmes basés sur la maturité sont un élément clé de l’orientation générale d’un programme de sécurité, mais ils ne doivent pas être le seul moteur du programme. Un programme correctement conçu est plutôt une coordination des capacités qui nécessite à la fois de définir et de s’aligner sur l’orientation et les tolérances de l’organisation, et de le relier à l’évolution du paysage des menaces.

Voici quelques points essentiels à retenir lors de l’élaboration de votre programme :

  • Comprenez ce qui compte le plus (les « Crown Jewells ») : Prenez le temps de comprendre les actifs critiques de l’entreprise qui sont les plus susceptibles d’avoir un impact sur votre organisation et de vous empêcher de poursuivre votre activité s’ils sont compromis.
  • Définir et aligner les tolérances en matière de risque cyber dans l’ensemble de l’organisation : Développez une vision descendante du cyber risque envers l’organisation, clarifiez les exigences de reporting de la direction, établissez et ciblez une tolérance au risque organisationnel.
  • Identifier et modéliser les risques liés à l’architecture de sécurité des systèmes critiques : Décomposer les systèmes critiques en composants et en connexions, identifier les menaces et les vulnérabilités, attribuer des risques à chaque menace et les aligner sur les tolérances de l’organisation en matière d’impact.
  • Identifier les cyber-risques des partenaires : Identifiez les partenaires et les organisations dont vous dépendez fortement et faites preuve de diligence raisonnable pour évaluer les risques liés à l’intégration et à la chaîne d’approvisionnement qui pourraient exposer votre organisation, mais aussi amener votre profil de risque à des niveaux de risque inacceptables.
  • Identifier les vulnérabilités opérationnelles et les aligner sur les tolérances de risque de l’organisation : Reliez les vulnérabilités et les degrés d’exploitabilité au potentiel de compromission des systèmes essentiels à la mission, et validez-les par rapport aux tolérances de cyber risque définies.
  • Vérifiez si vos capacités de sécurité vont dans la bonne direction : Comparez les initiatives du programme de sécurité existant aux meilleures pratiques et validez les écarts par rapport aux pratiques standard de votre secteur et de votre région d’activité.

Le développement de la maturité en matière de cyber-risque ne se fait pas du jour au lendemain ; il s’agit plutôt d’un processus continu qui se construit de lui-même. Une approche – issue de nombreuses transformations de programmes – aide les entreprises à élaborer une meilleure approche pour identifier, cartographier et réduire les risques de manière significative et méthodique.

Pour réussir à gérer les cyber risques, les entreprises doivent repenser et mieux identifier les menaces qui pèsent sur les éléments les plus importants pour elles, et faire en sorte que ces informations intègrent et informent le profil de risque opérationnel de l’entreprise d’un point de vue cyber. C’est une idée simple, mais elle est souvent absente de la plupart des programmes.

L’objectif d’une bonne gestion du risque cyber est d’aider à faire apparaître les menaces et les vulnérabilités dont l’organisation devrait se préoccuper le plus, et qui ont la capacité de causer un impact significatif et un risque réel.

perlafouine

Informations d'entreprises ou de partenaires

Articles similaires

Laisser un commentaire

Bouton retour en haut de la page