La cybersécurité est grandement affectée par l’accélération de la transformation numérique. En effet, les cyberattaques sont plus nombreuses et sophistiquées, au même moment où nos activités quotidiennes se retrouvent dépendantes des technologies. Dans notre tout dernier article, comprendre sa maturité en cybersécurité à travers 3 niveaux, nous tentons de démystifier le sujet et nous abordons l’importance de considérer des partenaires dans le contexte actuel. Il a été établi que les entreprises sont aujourd’hui submergées d’outils en cybersécurité et par le fait même d’une quantité importante d’alertes. Comment peuvent-elles réagir et gérer la quantité grandissante de cyberattaques ? C’est ce dont nous allons discuter avec le 3e niveau de cyberprotection, la gouvernance. Celle-ci permet, entre autres, de développer et maintenir la proactivité et d’établir le bon niveau de risque en matière de cybersécurité.
Niveau 3 : Gouvernance pour développer et maintenir votre proactivité
Qu’est-ce que la gouvernance informatique ?
La gouvernance est un processus qui chapeaute les autres niveaux de cybersécurité (la sécurité de base et avancée) et qui se doit d’être aligné stratégiquement avec les objectifs d’affaires d’une entreprise. Pourtant, selon les résultats d’une enquête, « 77 % des dépenses des entreprises sont axées sur la sécurité de l’information défensive et la conformité plutôt que sur des mesures proactives et des possibilités de soutenir une croissance transformatrice ». Au contraire, les entreprises devraient investir davantage dans des solutions qui vont au-delà des aspects techniques.
La gouvernance fait donc référence au fait d’imbriquer la cybersécurité dans chaque initiative et transformation. Elle relève en grande partie de la haute direction et s’inscrit au sein même de la gouvernance d’une entreprise. Elle implique également de développer une approche de gestion des risques et des politiques, qui devront clairement être communiquées. Il est aussi important d’attribuer les rôles et les responsabilités à chacune des parties prenantes et de désigner une autorité d’audits et de revues internes. Ainsi, sans une gouvernance et une gestion des risques adaptées, les solutions de sécurité pourraient ne procurer qu’un faux sentiment de sécurité.
Comment savoir si mon entreprise en fait assez en termes de cybersécurité ?
Il existe différents outils d’évaluation permettant de décomplexifier la cybersécurité et vous accompagner dans vos projets transformationnels. Les différents types de cadres permettent aux entreprises d’évaluer leur position actuelle en termes de cybersécurité afin de cibler des pistes d’amélioration. Il s’agit d’une analyse importante à faire et permet aux organisations de se repositionner pour mieux faire face aux différentes menaces.
Mais est-ce que l’évaluation du niveau de cybersécurité est suffisante pour être adéquatement protégée? La réalité est qu’avoir l’ensemble des outils n’est pas suffisant. Il faut non seulement bien bâtir son environnement de cybersécurité, mais il faut également s’assurer d’utiliser les outils, les politiques et les processus à bon escient. C’est donc la gouvernance, un rôle généralement attribué à un Chief Information Security Officer (CISO), qui permet la gestion de la sécurité informatique d’une organisation. Il s’agit d’un rôle que vos responsables TI tiennent généralement et qui, sans l’expertise adéquate, peut être complexe à gérer. Parmi les tâches du CISO, on retrouve l’anticipation, l’évaluation et la gestion des menaces nouvelles et émergentes. Le CISO doit absolument travailler conjointement avec les autres départements afin de s’assurer d’aligner les objectifs en sécurité informatique avec ceux de l’ensemble de l’organisation (ex. Processus d’acquisition, auprès des partenaires, dans votre gestion des risques, etc.).
Gérer soi-même sa cybersécurité ou externaliser ?
Il est important de noter que devant la complexité et l’évolution continuelle du sujet, il n’est plus suffisant de faire une évaluation une fois par année, mais plutôt d’y aller avec des évaluations périodiques. En revanche, avoir un employé à temps plein (ex. CISO) peut être coûteux et difficile à trouver en contexte de pénurie de main-d’œuvre. C’est pour cela que la demande d’embauche pour des CISO-as-a-service croît significativement. Le CISOaaS consiste à confier les responsabilités reliées à la direction de la sécurité informatique à un prestataire tiers. Ce dernier permet, par exemple, aux petites et moyennes entreprises d’obtenir des services en matière de cybersécurité au besoin, et ce sans avoir à embaucher une ressource à temps plein.
Quelle est la réalité de la gouvernance informatique?
La réalité est qu’il existe plusieurs options lorsqu’on s’attarde à la gouvernance informatique en entreprise. Vous pouvez, comme évoqué précédemment, avoir un poste temps plein (CISO), temps partiel ou encore des services de ressources externes. Mais, l’important est d’avoir accès à la bonne ressource qui fournit l’expertise nécessaire, c’est-à-dire une présence continue, une compréhension de votre organisation, de vos défis, de vos limitations, etc. Mais pourquoi cette présence est si importante ?
1.Sécurité dès la conception et en continu. En plus d’avoir une présence constante qui permet d’évaluer et mitiger les risques périodiquement, cette expertise contribue à ce que la sécurité soit inscrite dans votre quotidien et auprès de vos activités dès leur conception.
2.Politiques adaptées. Avoir la bonne ressource permet, entre autres, de gérer les incidents au bon niveau de responsabilité. Autrement dit, cela permet d’avoir une politique de gestion des incidents qui n’est pas uniquement reliée aux incidents majeurs, mais qui favorise la prise en charge par les ressources adéquates.
3.Confiance des partenaires. Avoir une ressource, que ce soit à l’interne ou à l’externe, qui surveille de près votre cybersécurité et assure une juste distribution des efforts renforce le sentiment de sécurité de vos partenaires d’affaires (clients, fournisseurs, etc.). Il s’agit là d’une valeur ajoutée aux yeux de vos partenaires.
4.Gestion des contrats et protection des partenaires. Disposer d’un CISO permet une confiance dans l’évaluation de la cybersécurité des partenaires et l’établissement des règles contractuelles. Par exemple, bien que vos partenaires aient accès à vos données et applications par le biais de services dans des environnements sécuritaires (le cloud, SAAS), ils ne sont pas exemptés de cyberattaques personnalisées. Il est donc nécessaire d’établir les règles, qui dans ce cas-ci, demanderaient au partenaire de vous informer en cas d’attaque.
5.Gestion des responsabilités. Avoir une ressource en continu permet également de déterminer les rôles et les responsabilités en temps de cyberattaque.
Ainsi, malgré tous les efforts déjà mis en place, votre entreprise devra constamment s’ajuster puisque les cyberattaques n’échappent à aucune organisation. C’est pourquoi il est primordial d’établir une gouvernance adéquate afin d’être proactif face aux cyberattaques. Cela permettra aussi d’avoir une bonne visibilité sur ce qui passe dans le monde et sur les mesures à mettre en place selon vos obligations, votre industrie et vos capacités.
Maintenant que vous avez une meilleure compréhension des différents niveaux en matière de cybersécurité, une autre réflexion se pose : jusqu’où aller en matière de cybersécurité pour ne pas contraindre la convivialité des utilisateurs ? En effet, plus les systèmes de sécurité deviennent sophistiqués, plus il y a d’étapes et de processus à faire. En tant qu’organisation, il est important de s’entendre sur ce qui est le plus important et assurer un équilibre entre les mesures de cybersécurité et la minimisation des impacts sur les opérations d’une entreprise et des parties prenantes. Devant tous ces questionnements, il devient de plus en plus pertinent d’opter, en plus d’un niveau d’accompagnement technique et stratégique, pour un partenaire pouvant vous orienter et assurer la transition et les changements auxquels vous pouvez faire face, dans un contexte d’amélioration de votre cybersécurité.
Découvrez comment l’expertise de TALSOM, peut protéger votre organisation tout au long de son parcours de transformation numérique.