Stratégie

Comment mesurer l'efficacité de sa cybersécurité... avant qu'il ne soit trop tard ?

---

La majorité des organisations ne sait pas mesurer les efforts en cybersécurité ou applique de mauvais critères.

PublicitéMesurez-vous la valeur et l'efficacité de vos efforts en matière de cybersécurité ? La plupart des entreprises ne le font pas. Et quand c'est le cas, les données fournies ne sont même pas lues. « Beaucoup d'entreprises font des efforts dans la cybersécurité, sans regarder l'efficacité de ces efforts », estime Joseph Carson, responsable de la sécurité chez Thycotic, qui a créé son propre indice de mesure de la sécurité (le SMI, Security Measurement Index). « Beaucoup d'entreprises n'évaluent pas leurs risques, ne les regardent pas à partir d'une évaluation ou d'une perspective d'impact sur leur entreprise. Elles le font uniquement pour respecter la conformité réglementaire comme pour beaucoup de leurs mesures de sécurité. »

« Il y a un manque de collaboration entre les deux parties, la sécurité et son contrôle », ajoute Steve Durbin, directeur général de l'Information Security Forum (ISF), une association à but non lucratif qui recherche et analyse les problèmes de sécurité et de gestion des risques. « Quel est le langage commun que nous devrions adopter ? Comment pouvons-nous, en matière de sécurité, être concentrés sur les bons éléments commerciaux ? »

Thycotic, un fournisseur de solutions de gestion de comptes à privilèges, a interrogé plus de 400 dirigeants mondiaux d'entreprises et de directeurs de la sécurité pour une enquête de type SMI (Security Measurement Index). Elle a révélé que 58 % des répondants ont mis une note négative lors de l'évaluation des efforts de leur organisation en matière d'investissements dans la cybersécurité et d'alignement sur  les meilleures pratiques.

Des investissements mal préparés

L'enquête a également révélé que, si les entreprises mondiales consacrent plus de 100 milliards de dollars par an aux défenses de cybersécurité, 32% prennent des décisions purement commerciales et achètent aveuglément des technologies de cybersécurité. En outre, plus de 80% des répondants n'ont pas inclus les utilisateurs professionnels dans leur  prise de décision. Ils n'ont pas non plus établi de comité de pilotage pour évaluer l'impact commercial et les risques associés aux investissements dans la cybersécurité.

L'ISF, de son côté, a constaté que de nombreux CISO signalent les mauvais indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI). Steve Durbin, directeur général de cet Institut, attribue cela au fait que la plupart des CISO ont peu ou pas d'interaction avec les responsables auxquels ils le signalent. En conséquence, ils devinent ce dont leurs auditoires ont besoin et n'éprouvent pas la nécessité de fournir en plus des rapports de gestion sur des sujets comme l'efficacité de la sécurité de l'information, les risques organisationnels et les arrangements de sécurité de l'information.

PublicitéSi les CISO doivent faire une grande partie du travail le plus lourd en matière de cybersécurité, les DSI ont également un rôle important à jouer en particulier sur les données liées à la sécurité. « La responsabilité principale du DSI est de s'assurer que l'organisation dispose de l'information dont elle a besoin pour prendre les bonnes décisions », a déclaré Joseph  Carson de Tyiotic. « Ils doivent identifier quels sont les atouts principaux et de haut niveau de l'organisation, les classer et, ensuite, travailler avec le CISO pour les protéger ».

4 étapes pour les KPI et les KRI

Pour aider les services de sécurité à s'aligner sur les objectifs de l'entreprise, l'ISF a développé une approche pratique en quatre phases de manière à développer des KPIs [Indicateurs clés de la performance] et des KRIs [Indicateurs clés des risques]. Steve Durbin dit que cette approche aidera la fonction de sécurité de l'information à répondre de manière proactive aux besoins de l'entreprise. La clé, dit-il, est d'avoir les bons échanges avec les bonnes personnes.

L'approche de l'ISF a été conçue pour être appliquée à tous les niveaux d'une organisation et se compose de quatre phases :
1. Établir la pertinence de la cybersécurité en s'engageant à comprendre le contexte commercial, à identifier les intérêts communs et à développer des combinaisons de KPI et KRI.
2. Générer des idées en s'engageant à produire, étalonner et interpréter des combinaisons KPI / KRI.
3. Créer l'impact en s'engageant à formuler des recommandations relatives aux intérêts communs et à prendre des décisions concernant les prochaines étapes.
4. Apprendre et améliorer en s'engageant à développer des plans d'apprentissage et d'amélioration.

Au coeur de l'approche ISF, il y a l'idée d'engagement. Engagement à construire des relations et à  améliorer  la compréhension, permettant à la fonction de sécurité de mieux répondre aux besoins de l'entreprise. L'engagement commence par l'établissement de la pertinence. Dans l'approche de l'ISF, cela signifie obtenir les bonnes données, calibrées et soutenues par les structures appropriées pour le bon public. Ces données doivent ensuite être utilisées de manière cohérente dans toute l'organisation. L'établissement de la pertinence comprend six étapes, toujours selon l'ISF :

1. Comprendre le contexte commercial.
2. Identifier le public et les collaborateurs.
3. Déterminer les intérêts communs.
4. Identifier les priorités clés en matière de sécurité de l'information.
5. Concevoir des combinaisons de KPI / KRI.
6. Tester et confirmer les combinaisons KPI / KRI.

La compréhension des KPI et du KRI

Une fois que vous avez les données, vous devez générer des idées. L'ISF affirme que les connaissances fiables proviennent de la compréhension des KPI et du KRI. La génération d'informations implique trois autres étapes :

1. Collecter les données.
2. Produire et étalonner les combinaisons KPI / KRI.
3. Interprétation des combinaisons KPI / KRI pour développer des idées.

Avec ces idées en main, il est temps de créer de l'impact, en veillant à ce que l'information soit rapportée et présentée d'une manière qui soit acceptée et comprise par tous les acteurs concernés. Cela conduit à agir ainsi :

1. Agréer aux conclusions, propositions et recommandations.
2. Produire des rapports et des présentations.
3. Préparer, présenter et distribuer des rapports.
4. Présenter  et accepter les prochaines étapes

La dernière étape est de développer des plans d'apprentissage et d'amélioration basés sur tout ce qui a été tiré des étapes précédentes. Cela, selon l'approche de l'ISF, conduira à des décisions éclairées basées sur une vision précise des performances et des risques, en donnant aux entreprises l'assurance que la fonction de sécurité de l'information répond de manière proactive aux priorités et aux autres besoins de l'entreprise. « Vous devez ainsi développer une mentalité tournée vers l'évolution continue, explique Joseph Carson, c'est une culture, un projet de sensibilisation ».


Article de Thor Olavsrud / IDG News Service (Traduit et adapté par Didier Barathon).

Article rédigé par

IDG News Service,

Partager cet article