Le NIST espère créer une communauté de mesure de la cybersécurité

Le National Institute of Standards and Technology (NIST) appelle à la création d’une communauté d’intérêts (CoI) permettant aux personnes intéressées par les procédures d’évaluation de la sécurité de l’information de travailler ensemble afin de partager leur expertise, d’affiner l’ensemble des connaissances et des ressources et d’identifier les opportunités de croissance et d’amélioration.

Après avoir partagé un premier projet public de deux ensembles de bonnes pratiques pour déterminer les métriques à collecter et les moyens de les mettre en œuvre, le NIST sollicite maintenant l’avis du public sur ces projets dans le cadre d’un effort visant à constituer une communauté plus large. Le premier ensemble définit une approche flexible du développement, de la sélection et de la priorisation des mesures de sécurité de l’information en fonction de métriques quantitatives et qualitatives qui peuvent être modélisées et analysées. Le deuxième ensemble définit une méthodologie de développement et d’implémentation visant à structurer un programme de mesure de la sécurité de l’information.

La mesure de l’efficacité a toujours été problématique, car elle implique de tenter de prouver un résultat négatif. En l’absence d’une violation, la cybersécurité est considérée comme optimale. Lorsque l’inévitable violation se produit, la question est de savoir à quelle vitesse les équipes de cybersécurité peuvent limiter les dégâts. La plupart des équipes de cybersécurité ont mis en place un certain type de défense multicouche pour limiter le rayon d’action potentiel d’une violation.

Aujourd’hui, les chefs d’entreprise demandent aux services de cybersécurité de quantifier le niveau de risque de cybersécurité auquel l’organisation est confrontée afin de mieux déterminer le niveau d’investissement réel nécessaire. Les dirigeants ne connaissent peut-être pas grand-chose à la cybersécurité, mais ils sont capables d’évaluer les risques pour l’entreprise. De leur point de vue, la cybersécurité n’est que l’un des nombreux risques pour l’entreprise qui doivent être évalués. De manière tout aussi critique, ils veulent savoir si les investissements antérieurs dans la cybersécurité ont eu un impact significatif sur la réduction du niveau de risque auquel ils sont confrontés.

Cependant, les métriques suivies aujourd’hui par les équipes de cybersécurité ne sont pas toujours corrélées à un risque que les dirigeants sont en mesure d’apprécier. Au lieu que chaque équipe essaie de définir un ensemble de mesures pouvant être comprises par les chefs d’entreprise, le NIST fait appel à la communauté de la cybersécurité pour définir ces indicateurs de manière collaborative.

Naturellement, il sera difficile pour toute équipe de cybersécurité de consacrer du temps et des ressources à ce type d’efforts, la plupart d’entre elles ayant déjà du mal à répondre aux menaces existantes. Alors que chacun sait combien les conséquences d’une violation peuvent être dévastatrices, passer du temps à définir un ensemble de mesures pour évaluer le retour sur investissement dans la cybersécurité revient à documenter l’évidence. Hélas, le ROI en matière de cybersécurité est loin d’être évident pour les chefs d’entreprise qui ont souvent l’impression que peu de progrès sont réalisés malgré des années d’investissements continus.

Or, les tactiques et les techniques employées par les cybercriminels ne cessent d’évoluer, ce que les chefs d’entreprise ont du mal à apprécier. Chaque fois qu’une organisation met en œuvre un ensemble d’outils et de pratiques pour contrecarrer un type d’attaque, les cybercriminels ne tardent pas à changer de tactique. La cybersécurité n’est pas un objectif statique qui peut être atteint et maintenu. C’est au contraire une lutte permanente qui, au fil du temps, impose de financer de nouveaux types de défenses pour être menée à bien.