Toutes les organisations ont pour objectif final en matière de sécurité la cyber-résilience. Des mesures de prévention et de détection efficaces sont et resteront la pierre angulaire des stratégies de sécurité, mais les entreprises ne devraient pas s’arrêter là.Ce qui compte, c’est la façon dont l’organisation se prépare, résiste, répond et se remet d'un incident.Et cela dépend autant des personnes et des processus que de la technologie.
En début d'année, lorsque le National Institute of Standards and Technologies (NIST) des États-Unis a mis à jour son cadre de référence en matière de cybersécurité, il a ajouté la gouvernance de la sécurité (la manière dont celle-ci est mise en œuvre et gérée par les personnes et les processus) à ses priorités stratégiques. En tant que DSI, je partage entièrement ce point de vue.
Une gouvernance efficace de la sécurité implique notamment des politiques et des programmes de sécurité cohérents, une direction d'entreprise qui comprend les risques et leur gestion, de robustes stratégies de réponse aux incidents, des investissements dans les compétences et la formation et bien plus encore. Notre étude internationale Cybernomics 101 a révélé que de nombreuses organisations ont du mal à atteindre ces objectifs.
Seulement 43 % des participants à l'étude pensent être en mesure de gérer efficacement les cyber-risques. Ce manque de confiance dans leur propre dispositif de sécurité est préoccupant. Nous avons décidé de nous plonger au cœur des données afin d'identifier les principaux défis auxquels sont confrontées les organisations dans leur quête de cyber-résilience et de tirer parti de notre expérience pour mettre au point des outils pratiques à même de les aider.
Ce travail a abouti à la rédaction de notre nouveau rapport du DSI, intitulé « Guider votre entreprise face aux cyber-risques », publié aujourd'hui.
Ce rapport examine comment les défis liés aux politiques de sécurité, au soutien de la direction, à l'accès des tiers et aux chaînes logistiques peuvent compromettre la capacité d'une entreprise à affronter les cyberattaques et à y répondre.
Les défis courants de la gouvernance
Les observations montrent notamment que de nombreuses organisations éprouvent des difficultés à mettre en œuvre des politiques de sécurité à l'échelle de l'entreprise, telles que des mesures d'authentification et des contrôles d'accès. La moitié (49 %) des petites et moyennes entreprises interrogées ont indiqué qu'il s'agissait de l'un de leurs deux principaux défis en matière de gouvernance. Il peut s'agir en partie d'un problème culturel, par exemple lorsque le personnel s'oppose aux restrictions imposées. Il s’agit d’un domaine à risque dans lequel les chefs d’entreprise ont un rôle important à jouer.
Un peu plus d'un tiers (35 %) des petites entreprises s'inquiètent du fait que les cadres supérieurs ne perçoivent pas les cyberattaques comme un risque important ; cependant, un quart d'entre elles reconnaissent que la haute direction n'est pas tenue au courant des menaces auxquelles l'organisation est confrontée. Il est difficile de s'intéresser ou de se préoccuper d'une problématique que l'on ne comprend pas pleinement.
Le soutien de la direction est moins problématique pour les grandes entreprises interrogées. Elles étaient plus susceptibles d'être confrontées à un manque de budget (38 %) et de professionnels qualifiés (35 %).
Quelle que soit leur taille, de nombreuses entreprises s'inquiètent du manque de sécurité et de contrôle de la chaîne logistique et de la visibilité des tiers ayant accès à des données sensibles ou confidentielles.
Environ une entreprise interrogée sur dix n'a pas de plan de réponse aux incidents pour faire face à une violation réussie. Les plus grandes entreprises interrogées sont les moins susceptibles (23 %) d'avoir testé leur plan de réponse aux incidents. Cela pourrait s'expliquer en partie par la complexité et les ressources nécessaires à la conduite d'un test en conditions réelles.
L'absence de plan ou un plan qui n'a pas fait ses preuves pourrait faire plus de mal que de bien en cas d'attaque grave et si l'entreprise ne sait pas comment agir ou quelles sont ses obligations.
Heureusement, les organisations ne sont pas condamnées à affronter la situation seules. Le rapport du DSI fournit quelques sources d'aide externes et propose également des modèles pratiques pour aider les organisations à gérer les cyber-risques et à faire le point sur leur parcours vers la cyber-résilience. Vous trouverez notamment un menu de gestion des risques et une liste de contrôle de la cyber-résilience.
Cette dernière s'inspire de la dernière version du cadre de cybersécurité du National Institute of Standards and Technologies (NIST) des États-Unis et peut être téléchargée et imprimée gratuitement sur le site Web de Barracuda.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
