Le cadre de cybersécurité de votre organisation est-il capable de résister à une nouvelle génération d’attaquants sophistiqués ? Si ce n’est pas le cas, il est temps de repenser et de repenser votre approche du cyber-risque.
Les cadres de cybersécurité sont les lignes directrices utilisées par les entreprises pour se prémunir contre les cyberattaques. Le cadre typique décrit les étapes nécessaires pour faire face aux divers risques de cybersécurité, détecter les vulnérabilités latentes et, de manière générale, améliorer la défense numérique de l’entreprise. Toute faille découverte dans la surface d’attaque indique que des mesures immédiates doivent être prises pour reconstruire et renforcer la cyber-résilience.
Keri Pearlson, maître de conférences et chercheuse scientifique principale à la MIT Sloan School of Management, affirme que de nombreux signes indiquent qu’un cadre de cybersécurité existant nécessite une attention particulière. « Si votre cadre de cybersécurité n’a pas été revu au cours des deux derniers mois, si vous n’avez pas mis à jour les choses de manière dynamique ou si votre équipe n’a pas encore intégré l’IA dans votre réflexion sur la cybersécurité, vous devez revoir et éventuellement reconstruire votre cadre », dit-elle.
Risquez-vous la sécurité de votre entreprise en vous appuyant sur un cadre de sécurité obsolète ? Voici des signes avant-coureurs qui indiquent qu’il est peut-être temps de procéder à une refonte indispensable.
1. Ne pas avoir de processus dynamique pour reconnaître les changements
La plus grande erreur, dit Pearlson, est de ne pas reconnaître que le plan actuel est obsolète ou ne fonctionne tout simplement pas. Des violations se produisent, mais cela ne signifie pas toujours que votre cyber-infrastructure doit être reconstruite. Cela indique cependant que le cadre doit être repensé et repensé.
Construire une organisation cyber-résiliente nécessite de penser différemment, déclare Pearlson. La meilleure approche, suggère-t-elle, consiste à déployer un processus dynamique qui surveille les changements dans l’environnement et initie un processus de reconstruction.
« La clé est de disposer du bon mécanisme de détection et de réponse, qui est probablement une combinaison de technologie et d’activités humaines », dit-elle, soulignant que la technologie peut détecter le changement et identifier les anomalies, et que les gens peuvent évaluer si le changement constitue un risque qui nécessite une attention et un investissement.
2. Faire l’objet d’une cyberattaque réussie, quelle que soit sa taille
Les cybermenaces évoluent constamment, donc rester proactif en procédant à des examens réguliers et en favorisant une culture de sensibilisation à la cybersécurité aidera à détecter les problèmes avant qu’ils ne se transforment en crises, explique Bucher. « En fin de compte, maintenir votre infrastructure robuste et à jour est le meilleur moyen de protéger votre organisation et de maintenir la confiance. »
3. La surveillance continue devient un défi
Si votre cadre ne peut pas assurer une surveillance continue ou prendre en charge une gestion proactive des risques, il est alors temps de le reconstruire en s’alignant sur les normes établies, telles que le cadre de cybersécurité du NIST, et en intégrant les exigences de conformité spécifiques au secteur, selon les besoins, déclare Dave Floyd, vice-président des ventes et des services de cybersécurité chez Hughes Network Systems.
La meilleure approche pour reconstruire un cadre de cybersécurité est de commencer par le cadre du NIST, puis de le superposer aux exigences de conformité spécifiques au secteur, conseille Floyd. Cette approche garantit que les meilleures pratiques et les obligations réglementaires des entreprises de santé, financières et autres sont pleinement prises en compte.
4. Votre processus formel d’examen du cadre se mesure en années
Si aucun changement important n’a été apporté à votre cadre au cours des trois dernières années, c’est une forte indication que votre cadre est peut-être obsolète, déclare Sandra McLeod, RSSI chez Zoom. « Le paysage de la cybersécurité a évolué rapidement, notamment avec l’essor de l’IA générative – votre cadre doit refléter ces changements. »
McLeod recommande un examen complet du cadre semestriel combiné à un examen superficiel au cours des années sabbatiques. « Cela permet de garantir que le cadre reste aligné sur l’évolution des menaces, des changements commerciaux et des exigences réglementaires. »
Idéalement, les responsables de la sécurité devraient toujours garder leur cadre de sécurité à l’esprit tout en conservant une liste approximative des domaines qui pourraient être améliorés, rationalisés ou clarifiés, suggère McLeod. « Ces informations informelles devraient être intégrées aux discussions lors des examens superficiels afin de garder l’amélioration continue en tête. »
5. Vous recherchez continuellement des alertes sans effectuer d’évaluations prédictives
Si votre organisation est continuellement dans un état réactif au lieu d’une posture proactive, il est temps de réévaluer le cadre, déclare Nima Baiati, directrice exécutive et directrice générale des logiciels commerciaux et des solutions de sécurité chez Lenovo.
Si une organisation est coincée dans un cycle de recherche continue d’alertes et d’incidents, ainsi que de reporting des événements après coup au lieu d’effectuer des évaluations prédictives des menaces, des analyses de données et une planification prospective, il est temps de changer, conseille Baiati. « Bien sûr, il y aura toujours des situations réactives, mais si elles consomment la plus grande partie de la bande passante des opérations quotidiennes, ce n’est probablement qu’une question de temps avant que des incidents plus importants ne se produisent. »
Baiati suggère de commencer par une solide compréhension de l’appétit pour le risque de votre organisation et de sa stratégie commerciale globale. « La sécurité, lorsqu’elle est bien appliquée, peut constituer un avantage concurrentiel, car elle minimise les perturbations opérationnelles et optimise la confiance », déclare-t-il. Par exemple, les institutions financières ont un faible appétit pour le risque et un besoin crucial de protéger l’intégrité de leurs données et leur réputation. Leur stratégie commerciale et leur sécurité sont intrinsèquement liées.
De plus, comme les membres de l’équipe sont plus mobiles que jamais, la sécurité des points finaux est désormais une priorité pour la sécurité des réseaux et doit être incluse dans le cadre de cybersécurité. « Pour renforcer la sécurité des terminaux, les organisations doivent adopter une approche globale et à plusieurs niveaux qui protège tous les aspects de leur environnement numérique : micrologiciels, matériels, logiciels et chaîne d’approvisionnement », explique Baiati. «Évaluez les applications d’IA sur appareil et basées sur le cloud pour garantir une détection et une réponse efficaces aux menaces en temps réel.»
6. Les KRI et les KPI ont une tendance négative
Si vous avez le sentiment que les indicateurs de risque clés (KRI) et les indicateurs de performance clés (KPI) vont dans une direction imprévue, votre cadre devra peut-être être réévalué, explique Sameer Ansari, responsable de l’équipe de confidentialité des données chez Protiviti, cabinet de conseil en audit, risque et conformité.
Les organisations qui considèrent leur cadre de cybersécurité comme une liste de contrôle de conformité plutôt que comme un outil permettant d’éclairer les décisions appropriées en matière de risques courent le danger, prévient Ansari. « Les organisations doivent prendre en compte les principaux objectifs commerciaux et les risques auxquels elles peuvent être confrontées et appliquer le cadre dans cette optique. »
Lors de la création ou de la mise à jour d’un cadre, de nombreux responsables de la cybersécurité se retrouvent obligés de se comparer à d’autres entreprises au lieu de se concentrer sur ce qui compte pour leur organisation, explique Ansari. Pire encore, c’est de croire que la quantité est plus importante que la qualité. « Certains responsables de la cybersécurité tenteront de combiner plusieurs cadres différents, créant ainsi un « cadre Frankenstein » ingérable qui devient très difficile à gérer et à maintenir », prévient-il.
7. Vous avez adopté une approche basée sur la conformité
Une erreur courante commise par de nombreux responsables de la cybersécurité est de concevoir un cadre principalement conçu pour « réussir l’audit », explique Daniel Tobok, PDG de la société de réponse aux incidents CYPFER, au lieu de cibler les objectifs commerciaux. Il prévient qu’une approche axée uniquement sur la conformité exclut souvent l’apport essentiel des parties prenantes non informatiques et aboutit généralement à un cadre qui semble bon sur le papier mais qui ne parvient pas à offrir une protection significative dans la pratique.
Idéalement, un cadre de cybersécurité devrait évoluer en permanence, avec une priorité accordée aux domaines les plus à risque, conseille Tobok. « Cependant, une reconstruction complète peut s’avérer nécessaire lorsque le cadre existant ne protège plus efficacement l’organisation ou lorsque le coût des correctifs supplémentaires dépasse les avantages. »
Il ajoute que la reconstruction est également justifiée immédiatement après un changement majeur dans l’entreprise, comme un changement de modèle économique, un environnement réglementaire modifié ou un paysage de menaces étendu, qui peuvent tous rendre le cadre existant obsolète ou insuffisant.
