L’urgence de traiter la cybersécurité comme une décision commerciale

Gartner Par Paul Proctor publiée 12 Février 2021 

La cybersécurité est confrontée à un ralentissement de la croissance budgétaire, à des cadres à risque frustrés et à un changement d’orientation réglementaire. Alors que les frontières se brouillent entre les modèles commerciaux et la technologie qui les prend en charge, les DSI doivent tenir compte des risques, des priorités de sécurité et des investissements qui ont une incidence sur leurs résultats commerciaux.

consultant en cybersécurité

Aperçu

Principaux défis

  • La croissance des dépenses en cybersécurité ralentit jusqu’en 2023, tandis que les conseils d’administration commencent à faire marche arrière et à se demander ce qu’ils ont accompli après des années de dépenses importantes en cybersécurité.
  • Les conseils d’administration et les cadres supérieurs posent les mauvaises questions sur la cybersécurité, ce qui conduit à de mauvaises décisions d’investissement.
  • De nombreuses approches actuelles pour améliorer la cybersécurité ne permettent pas de fournir des niveaux de protection appropriés et défendables.

Recommandations

Les DSI axés sur l’optimisation des coûts informatiques, les finances, les risques et la valeur pour optimiser les risques et les performances de l’entreprise doivent:

  • Utilisez cette recherche pour élaborer une analyse de rentabilisation et un récit de direction afin de changer la façon dont la cybersécurité est traitée dans l’organisation.
  • Améliorez la préparation à la cybersécurité en la traitant comme un choix et une décision commerciale.
  • Stimuler les priorités et les investissements en matière de cybersécurité en utilisant une approche axée sur les résultats qui équilibre les investissements et les risques avec les besoins pour atteindre les résultats commerciaux souhaités.

introduction

Les projections de Gartner montrent que la croissance des dépenses en cybersécurité ralentit. La cybersécurité a augmenté de 12% (TCAC) en 2018, et elle devrait baisser à seulement 7% (TCAC) d’ici 2023. Les clients de Gartner signalent également qu’après des années de rapports trimestriels sur la cybersécurité à leurs conseils d’administration, les conseils d’administration repoussent maintenant et demander des données améliorées et une meilleure compréhension de ce qu’ils ont accompli après des années d’un investissement aussi lourd (voir «Données de métriques clés informatiques 2020: mesures de sécurité informatique – Analyse» ).À la suite du piratage d’Equifax en 2017, le PDG a démissionné et a clairement indiqué que le piratage était une raison fondamentale de le faire. Le rapport final du sous-comité de la Chambre des représentants des États-Unis publié en décembre 2018 indiquait que «le PDG d’Equifax n’a pas donné la priorité à la cybersécurité» (voir «8 raisons pour lesquelles davantage de PDG seront licenciés en raison d’incidents de cybersécurité» ).En juillet 2019, le commissaire britannique à l’information a précisé que la gravité des amendes en vertu du RGPD reposait sur l’existence de contrôles adéquats, raisonnables, cohérents et efficaces. Cela établit un type de norme différent pour atteindre des niveaux appropriés de protection de la cybersécurité. Les limites des approches actuelles des priorités en matière de sécurité, de l’investissement et de la gouvernance décrites ci-dessous ne sont pas conformes à cette nouvelle norme ou ne sont pas bien adaptées pour y répondre. Une meilleure façon d’aborder cette norme consiste à aborder la sécurité comme un problème commercial et à l’aligner sur les besoins de l’entreprise. Les organisations doivent comprendre les limites de leur exécution actuelle et changer leur approche.Les informations présentées dans cette recherche devraient être utilisées pour construire une analyse de rentabilisation et un récit exécutif pour changer la façon dont la cybersécurité est traitée dans l’organisation. Il décrit les limites de nombreux comportements et approches actuels. Il jette également les bases d’une nouvelle approche de la mesure, du reporting, des priorités et des investissements en matière de cybersécurité (voir «Une approche axée sur les résultats en matière de cybersécurité améliore la prise de décision des dirigeants» ).

Analyse

S’attaquer aux approches défaillantes de la cybersécurité

La cybersécurité est à l’ordre du jour des conseils d’administration depuis près de 10 ans, les manchettes continuent de faire la une, et elle reste un domaine bien investi dans de nombreuses entreprises avec beaucoup d’attention, malgré le ralentissement de la croissance du budget de la cybersécurité. L’efficacité de la cybersécurité, telle qu’elle est mise en œuvre dans les entreprises du monde entier, reste confrontée à de grands défis (voir le tableau 1).

Tableau 1 : Défis actuels de l’efficacité de la cybersécurité

Agrandir la table

DéfierImpacter
La perception sociétale de la cybersécurité est qu’il s’agit d’un problème technique, mieux géré par des techniciens.La perception sociétale est dominée par la peur, l’incertitude et le doute. Il en résulte un faible engagement avec les dirigeants, des échanges improductifs et des attentes irréalistes. En fin de compte, cela conduit à de mauvaises décisions et à de mauvais investissements dans la cybersécurité.
Les organisations se concentrent sur les mauvaises questions concernant la cybersécurité.Les questions improductives indiquent une mauvaise compréhension et détournent l’attention d’une meilleure compréhension et de meilleurs investissements.
Les investissements actuels et les approches conçues pour remédier aux limitations connues ne sont pas productifs.Les organisations se concentrent sur de nouvelles approches qui sont très prometteuses sur le plan conceptuel, mais grâce à une combinaison d’échecs d’exécution et d’attentes mal définies, leurs investissements ne font que retarder les activités qui amélioreront mieux la cybersécurité.
Les véritables échecs n’attirent pas suffisamment l’attention sur le changement de comportement productif.Le respect de toute réglementation n’équivaut pas à des niveaux de protection appropriés.

Source: Gartner (février 2020)

La perception de la société crée un mauvais engagement et de mauvais investissements

La perception sociétale actuelle de la cybersécurité peut être caractérisée en grande partie par la peur, l’incertitude et le doute, déconnectés des réalités pour y faire face. Chaque fois qu’un incident matériel de cybersécurité fait la une des journaux, un commentateur à la télévision pose la question éternelle: «Pourquoi ne peuvent-ils pas simplement résoudre ce problème?» La société traite la cybersécurité comme une boîte noire de technologie. Et les agents de sécurité sont traités comme des sorciers. Les exécutifs leur donnent de l’argent, les sorciers lancent des sorts, et si quelque chose ne va pas… quelqu’un a fait une erreur et… je suppose que nous avons besoin de nouveaux sorciers.La perception sociétale conduit à un double standard caractérisé par: «Tout le monde comprend que les banques se font parfois voler, mais les banques numériques feraient mieux d’être parfaites.» Nous sommes désolés pour les employés d’une banque qui sont présents lorsqu’un criminel dit: «remplissez le sac avec de l’argent». Mais lorsqu’une banque numérique subit une perte, tout le monde veut savoir qui a commis une erreur.La pression sociétale a créé des conseils pour les conseils d’administration qui leur disent de devenir plus intelligents en matière de cybersécurité. Ainsi, au cours des 10 dernières années, les conseils d’administration ont appris à pirater et comment fonctionnent les contrôles de sécurité, et ils ont enduré des traités interminables sur les menaces. Cela ne les a pas aidés à répondre à la question clé et légitime liée au niveau de sécurité dont ils ont besoin.La pression sociétale a également poussé les gouvernements à créer des réglementations. Si la réglementation a obligé les organisations à agir là où elles ne faisaient rien, elle a également créé de mauvaises décisions dans le contexte des cases à cocher. Les dirigeants pensent que la conformité les sauvera. Beaucoup d’entre eux savent ou sentent que la conformité n’équivaut pas à une protection, mais les régulateurs ne leur laissent pas le choix. Au pire, la conformité nous oblige à dépenser de l’argent là où nous n’en avons pas besoin et nous empêche d’investir là où nous le devrions.

Les organisations se posent les mauvaises questions sur la cybersécurité

Les questions les plus courantes liées à la gouvernance de la cybersécurité au cours des 15 à 20 dernières années établissent un modèle familier de demande émanant des dirigeants (voir tableau 2).

Tableau 2 : Questions courantes sur la cybersécurité et leurs limites

Agrandir la table

QuestionLimitation
Combien dois-je dépenser pour la cybersécurité?Le montant que vous dépensez ne reflète pas votre niveau de protection.
Que dépensent tout le monde pour la cybersécurité?Le montant que les autres dépensent n’informe pas votre protection comparative avec le niveau de protection des autres.
Quels indicateurs dois-je signaler à mon conseil?Les mesures les plus utilisées aujourd’hui sont des indicateurs de fuite des facteurs que l’organisation ne contrôle pas (par exemple, combien de fois ai-je été attaqué la semaine dernière?). Vous devez corriger le modèle de gouvernance sous-jacent avant de pouvoir corriger les métriques.
Comment puis-je me conformer à la réglementation X?Le respect de toute réglementation n’équivaut pas à des niveaux de protection appropriés.
Comment puis-je quantifier le risque de cybersécurité?La plupart des représentations de l’état de préparation aux risques et à la sécurité en termes d’argent (c.-à-d. Est-ce qu’un risque de 5 millions de dollars ou de 50 millions de dollars?) Ne sont pas crédibles et défendables, et même lorsqu’elles sont crédibles, elles n’appuient pas la prise de décisions quotidiennes liées aux priorités et les investissements dans la sécurité.
Quels outils dois-je mettre en œuvre?Les capacités de sécurité sont fonction des personnes, des processus et de la technologie. Diriger avec la technologie entraîne de mauvais résultats.
Quelles sont les menaces les plus courantes dans mon secteur?Les organisations ne contrôlent pas les menaces. Ils contrôlent uniquement les priorités et les investissements dans la préparation à la sécurité.
De quel niveau de sécurité ai-je besoin?C’est une question légitime, mais tout le monde cherche une réponse simple là où il n’en existe pas.

Source: Gartner (février 2020)Ces questions, et leurs réponses, conduisent à de mauvaises décisions sur les priorités et les investissements dans la cybersécurité. Au mieux, ils conduisent à l’approbation d’une version du budget de sécurité. Au pire, ils conduisent à un faux sentiment de sécurité selon lequel «tout ira bien». Tout ne va pas se passer.

Investissements et approches pour améliorer la cybersécurité qui échoueront

Il est bien connu de la plupart des dirigeants que la cybersécurité est insuffisante. Il y a un battement de tambour constant dirigé vers les DSI et les RSSI pour remédier aux limites, ce qui a entraîné un certain nombre de comportements et d’investissements qui seront également insuffisants. Les comportements et approches suivants sont courants dans la base de clients Gartner.

L’abdication «Open-Checkbook»

L’argent à lui seul ne résout pas le problème, et un élément majeur du succès futur de la cybersécurité est l’engagement des dirigeants. Vous n’avez pas seulement besoin d’argent; vous avez besoin d’argent intelligent, dépensé dans un contexte commercial. Lorsque les cadres supérieurs disent qu’ils fourniront l’argent dont le DSI et / ou le RSSI ont besoin pour lutter contre la cybersécurité, ils renoncent à leur rôle de supervision et de participation au processus.De nombreux DSI et RSSI rapporteront que «l’argent» n’est pas un problème. Leur conseil d’administration a clairement indiqué qu’il soutiendrait tout niveau d’investissement nécessaire pour lutter contre la cybersécurité. Cette déclaration est généralement présentée comme une puissante démonstration de soutien qui contraste avec les décennies des années 1990 et 2000 où la plupart des programmes de sécurité ont eu du mal à obtenir un soutien financier. Malheureusement, ce chéquier ouvert rend plus difficile l’engagement des dirigeants dans une conversation productive pour améliorer la cybersécurité.Les RSSI déclareront généralement que la cybersécurité est le risque des dirigeants d’entreprise. Mais un chéquier ouvert place clairement le risque et la responsabilité sur les épaules du RSSI. Si une organisation est piratée, le conseil d’administration et les dirigeants peuvent dire: «Nous avons dit que nous vous donnerions tout ce dont vous aviez besoin; pourquoi tu ne l’as pas demandé?L’accès au budget est clairement important, mais si cet accès se fait au détriment de l’engagement de la direction, il nuira aux résultats de cybersécurité de l’organisation.

Le défaut d’exécution de l’appétit pour le risque

Une approche commune que de nombreuses organisations poursuivent depuis 2017 est le développement d’un appétit pour le risque. Conceptuellement, cela est très prometteur. Dans la pratique, la plupart des organisations n’ont pas tenu leurs promesses.Un appétit pour le risque est une représentation du désir de l’entreprise d’accepter le risque. Il s’agit d’un concept moderne et le reflet de l’évolution des listes de contrôle vers une approche basée sur les risques. Il est important de reconnaître que le risque est inévitable et que le risque est un outil qui peut être utilisé à des doses mesurées pour soutenir la réussite de l’entreprise. Un appétit pour le risque clairement articulé devrait donner à l’organisation l’occasion d’exprimer le niveau de risque qu’elle souhaite, et cela peut être utilisé pour guider les investissements en cybersécurité. Le tout dans un contexte commercial!La réalité est que de nombreux efforts d’appétit pour le risque sont devenus des plateformes permettant aux dirigeants d’exprimer «oui, nous n’aimons pas le risque ici». Et «nous avons une tolérance zéro pour le risque de cybersécurité.» Mais ces expressions sont largement aux extrêmes.Le véritable échec des efforts d’appétit pour le risque est qu’ils doivent inclure une échelle de risque mesurable et un processus de gouvernance sous-jacent permettant une prise de décision efficace en matière de risque. La plupart n’ont pas ces composants.L’absence de ces éléments de base condamne les déclarations d’appétit pour le risque à être une autre approche passionnante pour répondre aux besoins fondés sur le risque qui ne tiendront pas ses promesses. Lorsque des concepts comme ceux-ci sont au sommet des attentes démesurées, pour échouer, ils perdent leur pouvoir de faire le bien sur le marché et sont abandonnés. Lorsqu’ils sont ressuscités des années plus tard parce qu’ils sont en fait de très bons concepts, les gens les rejettent et disent: «Nous avons essayé et cela ne fonctionne pas.»

La quantification n’est pas une panacée

La quantification suscite un intérêt croissant au sein de la clientèle de Gartner depuis 2017. Elle est alimentée par des besoins tout à fait compréhensibles de présenter le risque et la sécurité en termes d’argent (est-ce un risque de 5 millions de dollars ou un risque de 50 millions de dollars?) Et la probabilité de dommages (quoi est le pourcentage de chances d’être piraté?). Les conseils d’administration l’exigent et de plus en plus de clients adhèrent à l’idée que c’est peut-être la réponse qu’ils recherchaient.La quantification a atteint un niveau presque fébrile d’attentes gonflées en 2020. Plusieurs observations indiquent qu’elle n’aura pas d’incidence importante sur la plupart des organisations. Et nous recommandons à chaque organisation de faire correspondre son intérêt pour la quantification à ces considérations pour déterminer si elle convient à l’organisation.Premièrement, la quantification est une tâche extrêmement lourde. Il faut des ressources importantes en temps, en argent et en ETP pour obtenir des résultats crédibles et défendables. Cet investissement lourd se poursuit aussi longtemps que vous y êtes engagé pour maintenir la valeur. Les petites organisations auront du mal à disposer de suffisamment de données pour que leurs organisations puissent créer des résultats crédibles et défendables. Et ils n’auront pas les ressources nécessaires pour s’exécuter.Bien que nous ayons répondu à des centaines d’appels d’organisations souhaitant en savoir plus sur la quantification, un nombre négligeable a signalé un succès crédible et défendable à Gartner. Celles qui ont fait état de succès ont tendance à être de très grandes entreprises disposant de suffisamment de données et de ressources.Méfiez-vous des abus. Nous avons plusieurs exemples d’organisations qui se sont engagées dans des exercices de quantification qui produisent exactement ce dont elles ont besoin en termes de graphiques, de preuves de rigueur et de résultats quantifiés. Le problème est que dans leurs calculs se trouvent des hypothèses et des «opinions d’experts» qui dictent essentiellement le résultat. Si vous utilisez le vernis de quantification uniquement pour obtenir ce que vous voulez, vous vous mentez à vous-même et à vos dirigeants, et vous ne soutenez pas une cybersécurité améliorée.Enfin, une organisation doit évaluer la valeur des résultats pour soutenir une meilleure prise de décision. Dans le cadre d’une évaluation, explorez un exercice de réflexion lié à la façon dont les résultats seraient utilisés. D’après l’expérience de Gartner, la quantification a montré sa valeur pour prendre en charge la quantité de cyberassurance dont une organisation a besoin, par exemple. Mais il ne prend pas en charge les décisions d’investissement quotidiennes que chaque organisation doit prendre en fonction des priorités et des investissements dans la cybersécurité.En fin de compte, la quantification peut avoir un sens pour certaines organisations soutenant certaines décisions d’investissement clés, et cela peut valoir la peine d’investir. La quantification ne sera absolument pas la panacée que beaucoup de gens croient qu’elle est.

L’audit interne et la conformité réglementaire demeurent les principaux moteurs

De nombreux dirigeants au niveau du conseil d’administration croient toujours que l’audit interne et la conformité réglementaire sont leurs principaux guides pour aborder la cybersécurité. Il existe plusieurs indicateurs à ce sujet, notamment:

  • Les rapports du conseil de cybersécurité enfouis dans le comité d’audit
  • Mettre l’accent sur le traitement des constatations de l’audit interne plutôt que sur la création d’un programme efficace
  • Le nombre d’organisations dans lesquelles la cybersécurité fait rapport à une organisation appelée «audit et conformité» ou «risque et conformité»
  • La mentalité des cases à cocher est bien vivante dans de nombreuses organisations:
    • Quel framework dois-je utiliser?
    • Notre programme est basé sur ISO ou NIST.
    • Nous recherchons une certification de programme.

Les limites de cette mentalité sont bien connues. La conformité n’équivaut pas à la protection. Les auditeurs internes ne doivent pas dicter le niveau de risque acceptable ou les contrôles les plus importants. Les cases à cocher créent des dépenses dans les domaines où vous n’en avez pas besoin et détournent les ressources des zones où vous en avez besoin.

De véritables échecs causés par la déconnexion entre la cybersécurité et la prise de décision commerciale

L’analyse par Gartner du témoignage du PDG d’Equifax, Rick Smith, au Congrès, à la suite du piratage d’Equifax en 2017, a montré un décalage entre la compréhension des dirigeants et les niveaux de capacités de cybersécurité dans l’organisation. Cette condition est très courante dans la base de clients Gartner. Le rapport final du sous-comité de la Chambre publié en décembre 2018 indiquait que «le PDG d’Equifax n’a pas donné la priorité à la cybersécurité» (voir «8 raisons pour lesquelles davantage de PDG seront licenciés en raison d’incidents de cybersécurité» ).Ces déconnexions devraient créer un appel de réveil pour les DSI, RSSI et cadres au besoin critique d’aborder la cybersécurité dans un contexte commercial et en tant que décision commerciale. Utilisez les exemples suivants dans un récit exécutif pour éclairer le risque de cybersécurité sur les résultats commerciaux au-delà des pirates et des violations de données.

  • Les investissements dans la cybersécurité augmentent les crises cardiaques. Une étude financée par la US National Science Foundation a souligné que le remède peut être pire que la maladie. «Les efforts de correction des manquements ont été associés à une détérioration de la rapidité des soins et des résultats pour les patients.» Les actions correctives visent à remédier aux carences en matière de confidentialité et de sécurité des informations de santé protégées. Les activités de remédiation peuvent introduire des changements qui retardent, compliquent ou perturbent les processus de santé, de TI et de soins aux patients. Après des violations de données, pas moins de 36 décès supplémentaires pour 10 000 crises cardiaques sont survenus chaque année dans les centaines d’hôpitaux examinés. 1,2
  • Engagement inconsidéré du risque. Un dirigeant bancaire a choisi d’ignorer une recommandation d’évaluation des risques pour l’authentification multifactorielle sur une nouvelle application bancaire en ligne destinée aux clients. Ce dirigeant avait le pouvoir de le fermer et, ironiquement, cela a peut-être été la bonne décision commerciale de protéger l’expérience client. L’échec est que cet exécutif n’avait aucune compréhension ni aucune responsabilité quant à la sécurité de l’application.
  • Échec de l’ingénierie dans un système cyber-physique. Un ingénieur de terrain a rassemblé la télémétrie de configuration à partir d’une grande installation sur le terrain sur plusieurs acres de grandes machines mobiles. Les informations ont été introduites dans un programme de simulation au siège du fabricant. En raison d’une mauvaise configuration, le programme de simulation a commencé à reconfigurer l’installation de terrain en direct à des centaines de kilomètres de distance, risquant des millions de dollars de dommages et de sécurité humaine. Tous les techniciens de terrain partageaient le même identifiant et il n’y avait aucune considération de sécurité dans le processus de gestion des produits.
  • La cybersécurité comme menace existentielle. Le fabricant d’un appareil pour les ateliers dans le monde avait ignoré la cybersécurité dans le développement de son produit connecté à Internet. Le logiciel de base était open source et criblé de vulnérabilités, soutenu par un système d’exploitation totalement inutile et entièrement fonctionnel. Le dark web a identifié tous ses appareils connectés à Internet et la société est devenue l’hôte de tous les cybercrimes imaginables, du blanchiment d’argent aux contrôleurs de robots de déni de service distribués. Les cadres ont été informés, mais s’en moquent, car aucun de leurs clients de l’atelier ne s’est plaint. Il s’agit d’une entreprise en attente d’être poursuivie en justice pour responsabilité.
  • Manque de compréhension de la direction concernant les risques liés aux tiers. Une organisation de services financiers, avec le plein soutien du conseil d’administration, a décidé de poursuivre une stratégie commerciale consistant à sous-traiter bon nombre de ses fonctions commerciales. L’équipe de sécurité a mis en place un processus d’évaluation rigoureux pour informer les décideurs des entreprises sur les risques de sécurité et pour faire des recommandations «go / no-go» sur la collaboration avec certains partenaires. Une décision commerciale a été prise d’engager un partenaire en particulier, malgré une recommandation importante de ne pas engager cette entreprise en raison de faiblesses en matière de sécurité. Six mois après le début de la mission, la société a subi une violation importante pour les mêmes faiblesses de contrôle qui ont été soulevées dans la recommandation. Le conseil a tenu l’agent de sécurité responsable de l’échec.

Ces exemples montrent que la prise de décision commerciale – déconnectée des réalités de l’impact commercial – peut entraîner de graves préjudices commerciaux. Ce sont les situations qui comptent, mais les dirigeants sont distraits par la conformité, les pirates informatiques et ce qu’ils dépensent.Une gouvernance brisée est une décision commerciale qui a un impact sur la préparation à la cybersécurité, mais qui est prise sans tenir compte de cet impact. Nous avons des formulaires que les cadres signent pour «accepter le risque», mais la plupart du temps, ces formulaires ne valent pas le papier sur lequel ils sont écrits. Il y a peu ou pas de responsabilité, et d’après l’expérience de Gartner, il y a peu de preuves que les risques sont décrits de manière appropriée dans un contexte commercial. Ainsi, les dirigeants ne comprennent pas vraiment le risque auquel ils souscrivent.Les cadres non informatiques ne demandent généralement pas ou n’insistent pas sur certains niveaux de sécurité dans les technologies qui les prennent en charge. Pour eux, la sécurité vient simplement avec la technologie, car «quel idiot construirait un système non sécurisé?» Si les responsables informatiques et de sécurité les engageaient sur les niveaux de sécurité souhaités, ils découvriraient que la mise en œuvre de ce niveau de sécurité augmenterait leur coût, allongerait leurs calendriers de livraison et aurait un impact négatif sur les fonctionnalités, y compris l’expérience client. Donc, ces conversations n’ont généralement pas lieu.Cette déconnexion entre la prise de décision des dirigeants et une cybersécurité efficace est ce qui devrait garder les dirigeants éveillés la nuit. Et il devrait concentrer leur attention sur de nouvelles façons d’aborder le problème. La première étape critique consiste à créer un contexte commercial autour de la cybersécurité.

Créer un contexte commercial autour de la cybersécurité

Pour créer un contexte commercial autour de la cybersécurité, vous devez d’abord comprendre le contexte commercial de votre organisation. Chaque organisation – publique, privée, à but lucratif, sans but lucratif, caritative, gouvernementale, de défense et organisation non gouvernementale (ONG) – a un contexte commercial. Ils ont tous des budgets et des coûts, des résultats commerciaux souhaités et des processus commerciaux de soutien, des sources de revenus et des clients. Et ils ont tous des dépendances technologiques.Ces dépendances créent un besoin d’investissement pour protéger les technologies qui soutiennent leurs résultats commerciaux. Comprendre les résultats les plus importants d’une organisation, ses processus les plus importants et ses résultats technologiques les plus importants est la première étape pour mettre un contexte commercial autour de la cybersécurité (voir «Le modèle de risque d’entreprise de Gartner: un cadre pour l’intégration des risques et des performances» ).

Les limites des normes, cadres et modèles de maturité actuels pour la cybersécurité

Les normes et cadres de cybersécurité sont des recommandations publiées pour sécuriser un environnement. Il en existe des dizaines, dont le plus populaire, le cadre de cybersécurité NIST et ISO 2700x.L’objectif principal de ces normes est de réduire les risques de cybersécurité. Ils comprennent généralement des ensembles d’outils, de politiques, de concepts de sécurité, de mesures de protection de sécurité, de lignes directrices, d’approches de gestion des risques, d’actions, de formation, d’assurance des meilleures pratiques et de technologies.Les modèles de maturité des processus utilisent les directives des normes et des cadres pour extraire les meilleures pratiques et techniques pour déterminer les niveaux de capacité. Ensemble, ils guident les priorités et les investissements pour atteindre les niveaux souhaités de capacité de cybersécurité. Leur plus grande limite est que les modèles de maturité mesurent à quel point les capacités sont bonnes, pas ce qu’elles réalisent!À mesure que les organisations atteignent une maturité plus élevée, ces modèles, cadres et normes de maturité commencent à perdre de leur valeur. Autour d’un niveau de maturité de 2,5, ils deviennent de mauvais guides pour aider une organisation à déterminer d’autres priorités et investissements. Au-dessus de 2,5, la complexité des investissements potentiels doit être mieux adaptée au contexte de l’organisation.Les régulateurs ont également signalé que les capacités de cybersécurité doivent avoir des caractéristiques autres que celles généralement représentées et auditées dans les modèles de maturité et les normes existantes.Les modèles de maturité ont aidé les organisations à prioriser des milliards de dollars de dépenses au cours des deux dernières décennies, ce qui a donné des résultats admirables. Les données de maturité de Gartner pour toutes les industries indiquent une moyenne entre 2,6 et 3,6 pour toutes les industries. Les organisations ont besoin de quelque chose de plus puissant qui a cette ligne de vue directe vers les niveaux de protection fournis.

Mesures axées sur les résultats pour la cybersécurité

Les organisations ont du mal à déterminer la bonne quantité de protection et d’investissement en cybersécurité. Ils doivent passer à la mesure des niveaux de protection pour orienter les investissements.En 2020, les audits de sécurité typiques se concentrent sur l’existence de contrôles. Une évaluation d’une norme d’audit pour le cadre de cybersécurité du NIST a montré que 73% des questions d’audit sont liées à l’existence de contrôles, et non à leurs performances ou niveaux de protection.Les mesures axées sur les résultats (ODM) pour le risque technologique sont une abstraction d’outils, de personnes et de processus pour refléter dans quelle mesure une organisation est protégée, et non comment elle est protégée. L’ODM peut être utilisé pour permettre une gouvernance plus efficace des priorités et des investissements en matière de cybersécurité. ODM crée le langage nécessaire pour avoir des conversations significatives axées sur les affaires avec les dirigeants et les conseils d’administration (voir «Mesures axées sur les résultats pour la cybersécurité à l’ère numérique» ).

La norme CARE pour la préparation et l’investissement en cybersécurité

Elizabeth Denham, la commissaire britannique à l’information, a précisé en juillet 2019 que la gravité des amendes du RGPD à la suite d’infractions majeures n’est pas liée au piratage des organisations ou au nombre de personnes touchées; on s’attend à ce que les organisations soient piratées. 3 La société peut souffrir d’un double standard lorsqu’elle s’attend à ce que les banques numériques soient parfaites, mais pas les régulateurs.Le commissaire a précisé que la gravité des amendes est liée à la présence de contrôles adéquats, raisonnables, cohérents et efficaces. Gartner pense qu’il s’agit du meilleur signal disponible d’une autorité de régulation pour déterminer le niveau de sécurité dont vous avez besoin. Cette clarification offre l’opportunité de définir une nouvelle norme basée sur une nouvelle façon d’aborder les niveaux de protection appropriés (voir Figure 1).Figure 1. La norme CARE pour la cybersécurité

La norme CARE pour la cybersécurité

En fin de compte, ce sont des jugements de valeur qui doivent être crédibles et défendables. Dans ces quatre caractéristiques se trouvent une myriade d’opportunités de faire ce qui est le mieux pour l’organisation. Il soutient la création d’un équilibre entre la protection et la gestion de l’entreprise. Il incarne également l’incitation à créer une meilleure capacité de sécurité qui offre de meilleurs résultats, et pas seulement à dépenser plus d’argent pour la sécurité (voir «La norme CARE pour la cybersécurité» ).

La préparation à la cybersécurité est un choix

Le but d’un programme de sécurité n’est pas de protéger l’organisation, car c’est un objectif impossible. Le but d’un programme de sécurité est d’équilibrer la nécessité de protéger et la nécessité de gérer l’entreprise.Si nous ne pouvons pas protéger entièrement l’organisation, que devons-nous faire? La préparation à la cybersécurité est un choix. Créez des contrôles adéquats, raisonnables, cohérents et efficaces qui sont crédibles et défendables auprès de vos principales parties prenantes – vos actionnaires, régulateurs et clients – afin de garantir que vous dépensez le bon montant pour les bonnes choses en matière de sécurité. C’est en fait ce que le commissaire britannique à l’information décrit comme sa norme en matière de fixation des amendes.L’optimisation des risques, de la valeur et des coûts guide les priorités et les investissements vers le juste équilibre entre le besoin de protéger et le besoin de gérer l’entreprise (voir «Optimiser les risques, la valeur et les coûts en cybersécurité et les risques technologiques» ). L’optimisation des risques démontre que l’organisation a les bonnes priorités et les bons investissements pour créer un équilibre entre la nécessité de traiter les risques et la nécessité d’atteindre les résultats commerciaux souhaités.L’urgence de traiter la cybersécurité comme une décision commerciale n’a jamais été aussi grande. Les organisations ont maintenant la compréhension et les outils pour le faire.

Leave a Reply

Your email address will not be published. Required fields are marked *

English