5 astuces pour la gestion du cyber-risque

Galvanize

La cybersécurité est une préoccupation majeure pour tous les secteurs d'une organisation, du service juridique aux RH en passant par l'informatique et les opérations.

Une violation des données peut être dévastatrice, non seulement pour votre équipe technique, mais aussi pour l'ensemble de l'entreprise - et peut avoir des répercussions durables. Selon la gravité de la violation, vous devrez peut-être interrompre complètement vos activités pendant un certain temps, ce qui peut également entraîner une perte de clients et de revenus.

L'atteinte à la réputation est également une préoccupation majeure : 65 % des victimes d'une violation de données ont perdu confiance dans l'organisation victime de la violation. Et les entreprises qui exposent par inadvertance des informations personnelles peuvent faire l'objet de recours collectifs se chiffrant en millions de dollars. En termes de retombées financières, le coût moyen d'une violation de données aux États-Unis s'élève à près de 4 millions de dollars.

La conformité aux réglementations du secteur est un bon point de départ pour défendre votre organisation. Mais aujourd'hui, il ne suffit plus de s'appuyer sur la seule conformité. Il ne s'agit pas de cocher une case, mais d'être conscient et de surveiller constamment les risques nouveaux et émergents, de gérer les risques existants et de rendre ce processus efficace. Cela signifie qu'il est essentiel d'adopter une approche active de la surveillance et de la gestion de votre cyber-risque.

Un exemple concret ? La pandémie de COVID-19 a entraîné une migration soudaine et généralisée vers un environnement de bureau distribué, avec un minimum de temps pour se préparer ou mettre en place de nouveaux protocoles de sécurité réseau. Cela a entraîné une violation de la sécurité dans 20 % des organisations interrogées

Il s'agit là d'un excellent exemple de risque qui pouvait être identifié à un stade précoce. Le risque n'était peut-être pas celui d'une pandémie mondiale, mais celui de la continuité des activités : si le lieu de travail devient inaccessible pour une raison quelconque, les bons systèmes, outils et processus sont-ils en place pour poursuivre les activités ? Si non, comment cela affectera-t-il l'organisation ? Il s'agit d'un exemple d'approche de la cybersécurité fondée sur le risque.

Afin de garder une longueur d'avance sur les risques futurs en matière de cybersécurité, il est important d'adopter une approche stratégique pour évaluer les risques potentiels pour votre organisation (y compris les scénarios internes, tiers, basés sur l'infrastructure et les cas de force majeure). En identifiant chaque risque individuel et en élaborant des plans pour les atténuer et y remédier, vous serez bien préparé à vous rétablir rapidement dans presque tous les scénarios.

Une approche de la cybersécurité fondée sur le risque

Voici cinq étapes pour intégrer la gestion des risques dans vos initiatives de cybersécurité :

  1. Utilisez la notation et l'analyse des risques

    Faites l'inventaire de tous vos risques potentiels et attribuez-leur un score de risque élevé, moyen ou faibles. Définissez ensuite le niveau de risque que vous êtes prêt à assumer et le montant que vous êtes prêt à investir pour atténuer les risques en dehors de ce niveau. Utilisez une plateforme logicielle avec des outils d'analyse des données pour appliquer et surveiller votre notation du risque et automatisez les notifications lorsque le risque évolue dans une direction indésirable. Cet article présente les huit étapes que vous pouvez utiliser pour aider à planifier votre évaluation des cyber-risques.

  2. Créez un comité de cyber-risques

    Identifiez les responsables des risques dans l'ensemble de l'organisation. En général, le directeur de la sécurité de l'information (CISO) assume une fonction de direction pour la gestion du cyber-risque dans son ensemble, les différentes équipes et fonctions jouant un rôle dans la surveillance et la gestion de risques spécifiques. Par exemple, l'informatique peut assumer la responsabilité principale de la gestion et de la surveillance de l'infrastructure et des réseaux, tandis que votre équipe de sécurité peut prendre la tête de la mise en place de contrôles pour l'accès aux données et la surveillance des menaces contre celles-ci. Regroupez les principaux responsables de chaque service concerné pour qu'ils fassent partie d'un comité de cyber-risque qui rend compte à votre conseil d'administration. Ce comité doit non seulement surveiller les risques actifs, mais aussi prendre la responsabilité d'évaluer les besoins permanents du programme de cybersécurité, d'allouer des ressources et de mettre à jour les politiques en fonction des objectifs de votre organisation.

  3. Prenez une approche progressive

    Plutôt que d'essayer de mettre en œuvre plusieurs changements stratégiques majeurs en même temps, adoptez une approche progressive de la gestion des risques en fonction du budget et des ressources dont vous disposez. Travaillez avec le comité de gestion des risques pour comprendre le paysage des risques et suivez la liste de priorités du comité pour vous aider à créer une feuille de route stratégique pour traiter les risques, y compris le calendrier auquel les changements seront mis en œuvre. Cela vous aidera à définir les ressources (personnes, technologie, processus) dont vous avez besoin pour mettre en œuvre le changement au fil du temps.

  4. Mettez en avant vos initiatives en matière de cybersécurité

    Une fois que vous avez élaboré un plan complet de gestion du risque de cybersécurité, informez l'ensemble de votre entreprise de vos initiatives. Commencez par mettre à jour vos politiques en fonction des changements apportés aux protocoles standard et organisez des programmes de formation au niveau des services pour que chaque équipe soit au fait de ce qu'on lui demandera de faire. Une fois que votre entreprise est intégrée, vous pouvez faire passer le mot en présentant vos initiatives en matière de cybersécurité à vos clients et partenaires, ce qui constitue un avantage concurrentiel. Vos outils d'analyses de création rapports vous aideront ici : En vous concentrant sur des points de données tels que la rapidité de la réduction des risques, vous serez en mesure de démontrer à votre conseil d'administration ainsi qu'à vos partenaires et clients externes que vos efforts de gestion des risques de cybersécurité ont eu un impact substantiel sur l'organisation.

  5. Identifiez les bons outils d'automatisation pour vous aider à gérer les risques

    La gestion du risque cybernétique bénéficiera de l'expertise humaine, mais pour mettre en place un programme solide qui suive de près votre niveau de risque en temps réel, il sera nécessaire de s'appuyer sur des outils d'automatisation et d'outils d'analyse des données. Lorsque vous choisissez une solution, concentrez-vous sur la recherche d'un outil qui sera intuitif pour les utilisateurs sans formation spécialisée afin qu'il puisse être utilisé dans tous les secteurs d'activité. Cet outil doit utiliser des flux de données en temps réel pour analyser les nouvelles menaces et partager anonymement des informations au fur et à mesure que des incidents et des menaces se produisent. Il doit fournir des chiffres sur l'investissement par rapport à l'impact pour vous aider à comprendre votre retour sur investissement pour chaque stratégie d'atténuation.

En cessant de vous focaliser sur la conformité et en élaborant un plan de cybersécurité axé sur le profil de risque unique de votre entreprise, vous serez en position de force pour détecter et répondre de manière efficace et efficiente à toute menace dès qu'elle se produit, plutôt que des mois plus tard.

Cela permettra à votre entreprise d'éviter les problèmes opérationnels et les atteintes à la réputation causés par des violations majeures, et de rester durablement compétitive dans votre secteur. En utilisant une technologie qui vous aide non seulement à évaluer les risques, mais aussi à analyser les coûts associés à leur atténuation, vous pouvez mettre en œuvre un programme de gestion des risques rentable qui donne des résultats.

eBook :

Le rôle du RSSI dans la salle du conseil d'administration

Dans cet eBook, vous découvrirez :

  • Les six principaux défis auxquels sont confrontés les RSSI aujourd'hui.
  • Ce qui définit notre paysage actuel en matière de cyber-risques.
  • Les stratégies à adopter pour obtenir plus de budget et de capacité pour votre fonction de cybersécurité.
  • Questions courantes à prévoir de la part du conseil d'administration (et comment y répondre).

Télécharger l'eBook

Articles liés

lang="en-US"
X

Galvanize fait désormais partie de Diligent.

Pour rester au courant des dernières recherches, ressources GRC et offres de produit, ou vous connecter à nos produits Galvanize, accédez à www.diligent.com

Accéder à Diligent Se connecter