Barracuda full logo

La CISA partage sa stratégie de cybersécurité pour 2023-2025

Thèmes:
15 déc. 2022
|
Mike Vizard

Chaque année, à peu près à la même période, les responsables de la cybersécurité entament une réflexion dans le but d’élaborer une sorte de stratégie pour l’année suivante. Difficile d’être précis en matière de stratégie de cybersécurité, car la nature des menaces auxquelles nous sommes confrontés continue, comme toujours, d’évoluer. Cependant, la Cybersecurity and Infrastructure Security Agency (CISA) américaine a publié un plan stratégique pour 2023-2025, dont de nombreux leaders de la cybersécurité auront probablement envie de s’inspirer.

Le document de 37 pages ne donne pas forcément de directives, mais il décrit plus ou moins quatre objectifs de cybersécurité que les entreprises devraient s’efforcer d’atteindre. Du point de vue d’un service informatique de grande entreprise, ils peuvent être résumés comme suit :

  1. Lancer une initiative pour assurer la défense et la résilience afin de résister plus facilement aux cyberattaques et aux incidents. Les entreprises devraient donc chercher à améliorer leur capacité à détecter activement les cybermenaces, à divulguer et à atténuer les vulnérabilités critiques et, dans la mesure du possible, à sécuriser les environnements informatiques par défaut.
  2. Réduire les risques pour les infrastructures critiques en augmentant la visibilité, grâce à des investissements dans des outils d’analyse des risques permettant de mieux hiérarchiser l’affectation des ressources limitées.
  3. Renforcer la collaboration opérationnelle et l’échange d’informations entre les parties prenantes.
  4. Intégrer les fonctions, les capacités et le personnel pour créer une équipe de cybersécurité unifiée basée sur une culture d’excellence.

Créez votre "North Star"

La plupart des professionnels de la cybersécurité comprendront intuitivement la mission à accomplir. La question, de leur point de vue, est de savoir quelles ressources seront mises à leur disposition pour y parvenir. Après tout, les ressources disponibles déterminent généralement les tactiques qui pourront être utilisées pour lutter contre les différents types de risques. Il est toutefois important de pouvoir formuler une stratégie, car elle permet de créer ce que la directrice de la CISA, Jen Easterly, appelle « north star», qui rappelle à tout le monde comment et pourquoi le financement de la cybersécurité doit être alloué, en particulier en temps de stress.

En fait, dans le cadre de cette mission, Jen Easterly a déclaré au Comité consultatif de cybersécurité que l’agence prévoit de se concentrer sur « ce que les conseils d’administration et les dirigeants doivent faire pour gérer efficacement les risques de cybersécurité » par l’intermédiaire d’un sous-comité qui sera formé pour atteindre cet objectif.

Des choix difficiles

Évidemment, au vu de l’essor des ransomwares, les chefs d’entreprise n’ont jamais autant apprécié la cybersécurité qu’aujourd’hui. Cependant, ce n’est pas parce qu’on apprécie une chose qu’on la comprend. Alors que de nombreux chefs d’entreprise sont forcés de prendre des décisions économiques difficiles, la cybersécurité n’est pas un domaine où l’on peut dire que « less is more ».

Il est toujours possible de réaffecter les budgets de manière à favoriser l’efficacité, mais alors que les cyberattaques augmentent en volume et gagnent en sophistication, toute réduction des dépenses augmentera très certainement le niveau de risque pour l’entreprise. Dans certains cas, il n’y a pas d’autre choix, mais les chefs d’entreprise doivent bien comprendre les compromis qui sont faits.

En attendant, les professionnels de la cybersécurité ont une occasion unique de devenir des leaders au sein de leur service. Il est peut-être impossible de mettre en place une cybersécurité parfaite, mais plus le niveau de menace est compris et connu, plus la plupart des membres d’une entreprise se tourneront vers les professionnels de la cybersécurité pour obtenir non seulement des conseils, mais aussi le sentiment d’avoir un but et de l’espoir.

Abonnez-vous à Journey Notes

Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.