Il existe de nombreux facteurs et prémisses qu’une organisation doit prendre en compte pour définir sa stratégie de cybersécurité. Dans un environnement technologique en évolution, les entreprises doivent identifier et protéger leurs actifs stratégiques grâce à des systèmes de sécurité spécifiques qui garantissent la continuité de leurs activités.
À cet égard, l’ISACA a fait connaître comment mener une bonne stratégie de cybersécurité, car la protection des systèmes, des réseaux, des applications et des données est aujourd’hui aussi importante pour une organisation que l’augmentation du nombre de clients, l’augmentation de la facturation ou le lancement de nouveaux produits. .
« Le simple fait qu’une organisation se pose cette question est déjà un symptôme de maturité, mais aussi de l’importance que la direction d’une entreprise accorde à la cybersécurité », explique Víctor Parrado, RSSI, GlobalSuite Solutions.
Prise de conscience dans l’entreprise
Comme dans toute stratégie, l’implication de la direction de l’entreprise dans la cybersécurité est un élément clé, d’où l’importance du rôle du RSSI, qui est intégré aux plus hauts niveaux de l’entreprise pour connaître de première main les objectifs stratégiques du RSSI. entreprises et les protéger de manière appropriée.
La stratégie de cybersécurité dépend de ces objectifs stratégiques, mais aussi des ressources et capacités dont dispose l’organisation, ainsi que de facteurs internes et externes que nous appellerons contexte. Lorsqu’il s’agit d’amener la stratégie à la couche opérationnelle d’une organisation, s’adapter à notre réalité est essentiel pour réussir.
Un bon point de départ pour définir la stratégie de sécurité est de répondre à la question suivante : qu’est-ce qui est critique pour l’organisation ? Quels sont les atouts dont nous ne pouvons nous passer ?
Des questions essentielles qui ne doivent en aucun cas être confiées à une seule vision : il est donc important de poser cette question à plusieurs dirigeants ou secteurs de l’entreprise, car il est assez courant qu’un processus commercial important dépende d’un atout qu’il ne connaît qu’un seul domaine.
Comme le dit Víctor Parrado, « ce serait une erreur de commencer directement à mettre en œuvre des contrôles sans savoir au préalable ce qui pourrait nous arriver et ce que nous avons. Grâce à cet exercice, nous pouvons identifier les forces et les faiblesses de la cybersécurité, ainsi que les lacunes et les mesures à prendre pour y remédier. Cela nous donnera également un aperçu des différentes couches et de la manière dont nous devons protéger nos données les plus précieuses.
Stratégie de cybersécurité
À ce stade, nous élaborerions une stratégie connue sous le nom de défense en profondeur. Issu du monde militaire, son objectif est de ralentir l’avancée de l’ennemi grâce à différentes méthodes et contrôles (couches), au lieu de s’appuyer sur une méthode de protection. Ainsi, l’attaquant a besoin de plus de temps et de connaissances pour compromettre la sécurité des actifs critiques, ce qui permet au défenseur de développer une réponse plus efficace.
Comme l’assure Parrado, « dans ce cas, nous ne devons pas penser uniquement aux mesures techniques et aux programmes de cybersécurité. Il est tout aussi important de savoir comment l’utilisateur interagit avec les systèmes de l’organisation. Cette couche de gestion contient toutes les politiques, réglementations et procédures, en plus de fournir les principes de base sur lesquels articuler le reste des garanties plus techniques. La complexité de l’infrastructure des organisations rend nécessaire la mise en œuvre d’un cadre de gestion permettant de réaliser correctement tous les processus mis en œuvre, depuis les rapports jusqu’à la gestion des données pertinentes, en passant par l’évaluation et la gestion des risques et de la conformité.
C’est ainsi qu’une bonne stratégie de cybersécurité doit être mise en œuvre
Mais ce n’est pas tout. Cuando se define una estrategia hay que tener en cuenta que nuestra realidad cambia de forma constante cuando hablamos de ciberseguridad, así que la que definamos para nuestra empresa ha de ser lo suficientemente flexible para adaptarse a los requisitos del mercado ya las nuevas tecnologías a lo largo du temps.
Parrado montre un exemple de cette situation : « Au moment de l’apparition de la pandémie, la plupart des entreprises avaient une stratégie basée sur l’authentification centralisée dans les systèmes d’entreprise pour protéger les utilisateurs qui se trouvaient en dehors du réseau de l’entreprise. Ce modèle a explosé lorsque tous les employés ont dû commencer à travailler à domicile, obligeant les organisations à donner accès à de nouveaux appareils, dans certains cas non professionnels, ainsi qu’à un grand nombre de connexions incompatibles avec les licences dont elles disposaient, etc. Autrement dit, du jour au lendemain, la stratégie de protection des appareils des utilisateurs devait changer. C’est un exemple simple de la façon dont la stratégie de cybersécurité doit évoluer constamment.
Mettre en œuvre la bonne stratégie
Una estrategia de ciberseguridad implica la adquisición de conocimientos por parte del equipo, la gestión de programas necesarios y la constante actualización a la hora de implementar todos estos controles.Esto implica un nivel de complejidad que, en muchas ocasiones, no puede asumir una organización por lui-même.
C’est pourquoi de nombreuses entreprises disposent d’un soutien externe pour les aider en cas de cyber-incidents, surveiller leur infrastructure à la recherche d’anomalies ou, en bref, fournir des solutions de cybersécurité de manière spécialisée. On parlerait de services SoC gérés, de CERT, d’assurance contre les cyber-risques, etc. Dans cette optique, pour définir une stratégie, les points suivants doivent être pris en compte :
- Décisions basées sur des données et des informations. La première étape pour définir une stratégie est de connaître notre organisation, ce qui est important et quelles sont nos forces et nos faiblesses.
- La stratégie de cybersécurité doit être soutenue par la haute direction. Et vice versa, la cybersécurité doit accompagner et s’adapter aux objectifs des entreprises.
- La mise en œuvre d’un cadre de gestion de la cybersécurité nous permettra de mieux gérer les processus. Qu’il s’agisse du cadre ISO 27001, 27110, ENS, NIST… C’est une bonne stratégie de choisir une norme qui définit et relie les différents processus.
- La stratégie est une conséquence de votre contexte. Pour définir une stratégie, vous devez connaître votre réalité. Les ressources sont toujours limitées.
- Rôles et responsabilités de sécurité définis. Il est essentiel de déterminer qui est en charge de quoi définir les différents processus à mettre en œuvre dans le but de réaliser une bonne gestion de la cybersécurité.