Rapport conformité / risque : Pourquoi il est si important d'adopter la bonne approche

Galvanize

La plupart des organisations ont maintenant compris l'importance cruciale de la gestion des risques liés à la cybersécurité.

En moyenne, il en coûte 3,86 millions de dollars pour faire face aux conséquences d'une violation de données et il faut en moyenne 280 jours pour identifier et maîtriser une violation. Pour une entreprise, le coût peut être beaucoup plus élevé : Capital One, par exemple, estime qu'en 2019, ses pertes pourraient atteindre 150 millions de dollars à la suite d'une violation de données.

Même sans subir de pertes à la suite d'une violation réelle, le respect des réglementations strictes du secteur en matière de protection des données et de la vie privée implique toujours du temps et des coûts. En outre, les organisations qui travaillent au sein de l'Union européenne sont soumises au règlement général sur la protection des données de l'UE (RGPD), qui peut imposer des amendes allant jusqu'à 20 millions d'euros (environ 24 millions de dollars) ou représenter 4 % du chiffre d'affaires mondial annuel.

Compte tenu du risque d'une violation effective et du danger de recevoir une amende pour non-respect de la réglementation, de nombreuses organisations ont fait de la cybersécurité une préoccupation centrale de leur programme de gestion des risques, qui relève généralement du responsable de la sécurité de l'information (CISO). Toutefois, les programmes de gestion des risques liés à la cybersécurité peuvent varier en termes d'objectifs : certains visent uniquement à atteindre des objectifs de conformité, tandis que d'autres se concentrent sur l'atténuation des risques réels liés à la cybersécurité.

Les organisations qui se concentrent uniquement sur la conformité négligent des facteurs de risque importants. Bien que la mise en place d'une bonne posture de défense puisse contribuer à atténuer de nombreuses menaces connues, cela signifie que vous manquez de visibilité dans le paysage changeant des menaces, de sorte que vous ne serez peut-être pas préparé à de nombreux scénarios qui pourraient se présenter. Dans le cas de la pandémie de COVID-19, par exemple, un grand nombre d'organisations ont été prises au dépourvu et ont vu leur sécurité compromise lorsque leurs équipes se sont déplacées pour travailler à distance sans infrastructure ni préparation adéquates, ce qui a ouvert l'organisation à des risques de fraude et de violation de données. Au premier trimestre 2020, les violations de données à grande échelle se sont produites à un rythme supérieur de près de 300 % à celui du trimestre précédent.

Afin de mieux se préparer à l'évolution des scénarios de risque, il est essentiel d'élaborer une approche de la cybersécurité axée sur l'évaluation et la gestion des risques, et non pas seulement sur la conformité. Voici quelques bonnes pratiques pour commencer.

  • Mettez en place un comité de pilotage
    Constituez un comité de pilotage interdisciplinaire qui vous aidera à signaler les risques dans toute l'organisation, en collaborant pour déterminer les risques à traiter en priorité.
  • Trouvez le bon équilibre entre vos objectifs ambitieux et réalisables
    Lorsque vous mettez en place des plans, assurez-vous que vous vous concentrez sur des objectifs qui ne sont pas trop ambitieux au point de ne jamais être atteints. Une bonne règle de base consiste à ne considérer que les plans qui pourraient être mis en œuvre en l'espace de deux ans.
  • Accordez à votre entreprise un délai de grâce
    Les nouvelles politiques et technologies ne peuvent pas être mises en œuvre en un claquement de doigt ; donnez à votre organisation le temps de rechercher des options et de se concentrer sur la mise en œuvre et la formation.
  • Concentrez-vous sur les systèmes et les actifs de données essentiels
    Effectuez un tri à l'aide d'une analyse d'impact pour évaluer la criticité de chaque système ou actif touché d'un point de vue professionnel afin de déterminer les risques à prioriser.
  • Évaluez les produits de la GRC pour aider à rationaliser le processus
    En choisissant la bonne pile technologique pour vos initiatives GRC, vous pouvez semi-automatiser le processus de cyber-risque pour optimiser l'utilisation du personnel sur des tâches plus stratégiques.
  • Présentez l'argument commercial pour aider à établir une approche du cyber-risque
    Partagez avec vos partenaires un plan clair et précis pour améliorer la position de votre entreprise en matière de cybersécurité, y compris les investissements ciblés, les gains rapides et les meilleures pratiques.
  • Établissez une approche progressive
    N'essayez pas de « faire bouillir l'océan » en faisant tout en même temps. Commencez par les initiatives prioritaires et développez votre programme à partir de là.
  • Extrapolez les connaissances sur les risques à d'autres domaines de votre programme de sécurité
    Une fois votre programme de gestion des risques mis en place, faites passer le message par des mises à jour des politiques et un programme de sensibilisation et de formation à l'échelle de l'entreprise.
  • Faites la promotion de cette approche auprès de vos clients et de vos partenaires
    En présentant votre approche stratégique de la cybersécurité, vous pouvez contribuer à améliorer le positionnement concurrentiel de votre entreprise.

Dans le cadre du processus d'évaluation des risques de l'entreprise, prenez ces mesures :

  1. Créez un profil : Commencez par établir votre profil d'entreprise en dressant un inventaire des risques.
  2. Déterminez l'impact sur l'entreprise : Quel impact financier ou en matière de réputation chaque risque aurait-il sur votre entreprise ?
  3. Évaluez les menaces : Quelle est la probabilité que chaque menace se produise, à partir des données historiques et des données du secteur ?
  4. Évaluez les vulnérabilités : Quels sont les points faibles actuels de votre organisation ?
  5. Déterminez le risque : Évaluez quels sont les risques les plus prioritaires.
  6. Traitez le risque : En fonction du coût et de l'impact potentiel, devez-vous atténuer, éviter, transférer ou accepter chaque risque ?

Gardez à l'esprit que le cyber-risque ne doit pas être cloisonné. Les autres services auront souvent besoin de formation et d'éducation pour répondre aux préoccupations en matière de cybersécurité. Par exemple, votre service RH devrait mettre en œuvre des politiques visant à éviter les attaques d'initiés, votre équipe de sensibilisation et de formation en entreprise devrait organiser un séminaire sur la prévention des attaques en matière d'ingénierie sociale et vos accords avec les fournisseurs devraient inclure un langage approprié et des normes minimales pour réduire le risque d'une violation par un tiers.

En vous assurant que vous avez élaboré un programme complet qui s'aligne sur les meilleures pratiques en matière d'analyse des risques de cybersécurité, vous pouvez susciter l'adhésion de toute l'organisation et sensibiliser à l'importance du travail de votre équipe.

Pour plus d'informations sur le passage de la cybersécurité d'une approche axée sur la conformité à une approche axée sur les risques, téléchargez notre eBook.

eBook :

La cybersécurité : de la conformité au risque

Les RSSI doivent commencer à adopter une approche basée sur le risque au lieu de se concentrer sur la conformité uniquement. Cet eBook explore les points suivants :

  • À quoi ressemble une « bonne » gestion des risques informatiques ?
  • Six étapes à suivre dans le cadre du processus d'évaluation des risques de l'entreprise
  • L'importance de l'automatisation pour la gestion des cyber-risques

Télécharger l'eBook

Articles liés

lang="en-US"
X

Galvanize fait désormais partie de Diligent.

Pour rester au courant des dernières recherches, ressources GRC et offres de produit, ou vous connecter à nos produits Galvanize, accédez à www.diligent.com

Accéder à Diligent Se connecter