Software Risk is Business Risk. It’s Time for the C-Suite to Act

Votre problème de cyber-risque n’est pas technologique, mais architectural

Lucas Morel

Les cyberprogrammes efficaces ne reposent pas uniquement sur la technologie : ils prospèrent lorsque l’architecture, le risque et la culture travaillent ensemble.

La création d’un processus continu de gestion des cyber-risques, aligné sur la gouvernance du processus de gestion de la sécurité de l’information, est une prémisse qui assure la survie de l’organisation. Ici, je souhaite présenter une vision pratique et stratégique sur la manière d’aligner l’architecture de sécurité, la gouvernance des risques et la culture organisationnelle pour construire des programmes de cybersécurité efficaces.

En suivant le modèle de domaine proposé par ISC2 du point de vue d’une architecture de sécurité, je suis convaincu de son importance essentielle pour un cyberprogramme. Cela est particulièrement vrai dans un scénario de technologies émergentes telles que l’IA générative, qui nécessitent particulièrement un haut niveau de traitement dans un environnement cloud hébergé sur des centres de données robustes.

En plus d’une demande énergétique élevée, ces innovations entraînent des défis en matière de gestion des accès et des identités, des garde-fous dans l’infrastructure réseau pour protéger les charges de travail et nécessitent une approche de modélisation architecturale solide, y compris des projets de gouvernance, de risque et de conformité (GRC).

Selon moi, la création d’un processus de gestion des cyber-risques, combinée à la gouvernance du processus de gestion de la sécurité de l’information, est une prémisse qui assure la survie de l’organisation.

Si on me demandait lors d’un entretien quelle serait ma stratégie pour mettre en œuvre un processus de gestion de la sécurité de l’information, je dirais qu’il est important de considérer le scénario de l’organisation, son contexte et, enfin, le niveau de maturité de la culture du risque parmi les parties prenantes.

Si l’entreprise n’a pas encore une mentalité orientée vers le risque diffusée auprès des parties prenantes et des salariés

Il devient plus difficile de vendre et de mettre en œuvre un programme de cybersécurité. Il est nécessaire de travailler de manière intensive, avec une forte articulation et animation aux côtés des dirigeants des métiers, car signaler des défauts dès le départ peut générer des challenges à long terme. J’ai vécu des expériences personnelles où j’ai été confronté à des obstacles et j’ai dû prendre du recul.

Cependant, le développement d’une culture du risque – comprenant l’appétit, la tolérance et le profil – dans le cadre du programme de gestion est essentiel pour fournir une réelle visibilité sur les risques en cours, sur la manière dont ils sont perçus et atténués, et pour tirer parti de la capacité de l’organisation à améliorer sa posture de sécurité. Par conséquent, l’entreprise commence à fournir des produits fiables aux clients, à assurer sa réputation et à construire une image sécurisée pour obtenir un avantage concurrentiel et une reconnaissance de marque.

Si l’entreprise a déjà une culture du risque mature

La mise en œuvre d’un projet de gestion de la cybersécurité devient plus flexible. Puisque mon objectif est de partager les mécanismes pour réussir dans un programme de cybersécurité, je souligne ci-dessous certains éléments de cette « recette » à considérer :

  1. Comprendre la dynamique et la portée de l’entreprise, cartographier les parties prenantes, les processus et les systèmes critiques de l’organisation, catégoriser les applications et classer les données pour déterminer l’ensemble de contrôles approprié (garde-corps).
  2. Comprendre le choix et l’application d’un cadre tel que NIST CSF 2.0, lié à ISO 27001, COBIT, CMM, NIST 800-53, SABSA, TOGAF, MITRE ATT&CK, OWASP, entre autres.
  3. Commencez par définir la vision, les buts, les stratégies et les objectifs, en considérant ce que la section « Gouverner » du NIST CSF définit comme la stratégie GRC. Exemple : Pour chaque but, des objectifs doivent être définis, tels que
  4. Au sein du programme de mesure de la maturité continue, il est nécessaire de définir des indicateurs en combinant KPI et KRI. Par exemple, un contrôle critique : de cette façon, le programme persuade les parties prenantes et les propriétaires d’applications de résoudre les problèmes de sécurité, augmentant ainsi la maturité du programme et assurant la transparence pour les dirigeants.
  5. À ce stade, il est recommandé de procéder à une évaluation des menaces et des méthodes d’attaque courantes auxquelles l’organisation est exposée et vulnérable. Dans ce contexte, toutes les informations doivent être regroupées pour rendre le processus robuste, par exemple en définissant une liste de menaces, de risques, de contrôles préventifs et de détection et de risques commerciaux (par exemple, exposition, réputation, perte financière). Les contrôles peuvent être définis en fonction du scénario de l’organisation, avec des cadres tels que PCI-DSS, COBIT, NIST 800-53, CIS, NIST CSF, CRI, CMM et ISO 27001 servant de références.
  6. Il s’agit de la partie essentielle du programme : comprendre les actifs critiques de l’entreprise. Cartographiez les applications, obtenez une vue d’ensemble avec les résultats des analyses des écarts, des évaluations des risques, des tests d’intrusion et même les derniers résultats d’audit pour prendre en charge cette phase. Comme indiqué précédemment, la cartographie des applications et la prise en charge de l’analyse d’impact sur l’entreprise (BIA) pour s’aligner sur les exigences de l’entreprise sont essentielles. Ici, la gouvernance joue également un rôle, en définissant les politiques, les normes et les procédures du programme de cybergestion.
  7. À ce stade, il est nécessaire d’incorporer un modèle-cadre. Personnellement, je privilégie une combinaison de ISO 27001, NIST CSF, NIST 800-30, 39 et RMF. Dans le secteur financier américain, le Cyber ​​Risk Institute (CRI) fournit également d’excellents éléments pour mettre en œuvre efficacement un programme. De plus, comme de nombreuses entreprises sont déjà actives dans le cloud, CIS Controls et le CMM Cloud Security Alliance (CSA) sont d’autres contributeurs importants. Cette phase peut être définie comme le cœur du projet, compte tenu de sa délicatesse. C’est là que l’appétit et la tolérance au risque de l’organisation sont définis, alignés sur les objectifs commerciaux. Par conséquent, l’engagement des parties prenantes est essentiel à ce stade pour favoriser une culture du risque qui déterminera le succès du projet. La structure organisationnelle du RSSI par rapport aux domaines de cybersécurité, essentielle au programme, doit également être présente, compte tenu des étapes Identifier, Protéger, Détecter, Répondre et Récupérer du NIST CSF. Je souligne également que la première phase, , a été abordée plus tôt, où j’ai souligné d’autres aspects cruciaux du programme.
  8. Un autre facteur important à développer parallèlement à l’augmentation de la culture du risque est le processus continu de sensibilisation à la sécurité de l’information. Cette action doit inclure tous les collaborateurs, notamment ceux impliqués dans la gestion des incidents et la cyber-résilience. Pour ce groupe, je recommande des exercices sur table simulant des scénarios de catastrophe tels que Ransomware, Phishing, attaques d’IA, fuite de données sensibles, etc. Cela aide à préparer l’organisation à être plus résiliente en temps de crise. Je souligne également l’importance de former les développeurs de logiciels aux meilleures pratiques de développement sécurisé, puisqu’aujourd’hui tout est défini dans le code (API, conteneurs, sans serveur, etc.), nécessitant une attention particulière aux processus tels que SAST, DAST, SCA, RASP, Threat Modeling, Pen Testing, entre autres.
  9. D’un point de vue technique, il est important de sélectionner et de mettre en œuvre des contrôles appropriés à partir des étapes du NIST CSF : identifier, protéger, détecter, répondre et récupérer. Cependant, le choix de chaque contrôle pour la construction de garde-fous dépendra de la situation globale de la cybersécurité et des meilleures pratiques du marché. Pour chaque problématique identifiée, il convient de déterminer le contrôle correspondant, suivi chacun par les trois lignes de défense (informatique et cybersécurité, Gestion des risques et Audit).

Je ne peux pas détailler la liste complète des contrôles appropriés pour chaque scénario dans cet article, mais je suggère de consulter des cadres tels que NIST CSF, AI RMF, CIS Controls, CCM, CRI, PCI-DSS, OWASP et ISO 27001/27002, qui spécifient chaque type de contrôle. Exemple:

Enfin, le programme de gestion de la cybersécurité doit également tenir compte des exigences légales, réglementaires et régionales, notamment les lois sur la confidentialité et la cybersécurité. Cela couvre les réglementations LGPD, CCPA, GDPR, FFEIC, Banque Centrale, etc., pour comprendre les conséquences d’un non-respect, qui peut poser de sérieux problèmes pour l’organisation.

Ouf… J’espère avoir réussi à fournir un bref aperçu de l’architecture et de la manière de construire de manière simplifiée un programme de gestion des cyber-risques aligné sur les exigences de l’entreprise.

N’oubliez pas qu’il s’agit d’une voie suggérée que j’ai utilisée et proposée aux dirigeants des organisations avec lesquelles j’ai travaillé. De manière générale, la pertinence d’une architecture bien conçue et mise en œuvre sous-tend l’ensemble du programme et est essentielle à son succès. Je réitère que l’alignement entre l’architecture, le GRC et le rôle du RSSI a le potentiel de déterminer dans quelle mesure l’organisation peut élever sa capacité contre les menaces et améliorer sa posture de cybersécurité.

Comme le dit un proverbe bien connu : Que ces connaissances contribuent au succès de votre programme de cybersécurité. Retenez ce qui est bon !

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

3D Computer Graphics: Data Center Female Chief Technology Officer Using Laptop Standing In Warehouse, Activates Servers, Information Digitalization Starts. SAAS, Cloud Computing, Online Service
Ce périphérique KVM bon marché pourrait exposer votre réseau à une compromission à distance
universal endpoint management uem sdecoret shutterstock
La CISA exhorte le département informatique à renforcer les systèmes de gestion des terminaux après une cyberattaque perpétrée par un groupe pro-iranien
Qu'est-ce qu'une attaque DDoS ?
Qu’est-ce qu’une attaque DDoS ?