EXPERTISES - CYBERSECURITY CORNER

Arrêtons de dépenser inutilement de l’argent en cyber!

24 Octobre 2018 Par Excellium
 Crédit Photo: Excellium

La lecture de la presse suffit à dresser un constat simple, même pour un non-spécialiste, les ressources allouées par les organisations ou gouvernements semblent insuffisantes en capacité face à la cybermenace. Est-ce une question d’investissements insuffisants ou d’allocation des ressources? 

Certains pensent que les moyens ou ressources disponibles dans le domaine de la cybersécurité sont insuffisants. D’autres, souvent du côté des décideurs ou des financiers, pensent plus souvent que l’investissement est déjà trop important pour le retour actuel.

La vérité est très certainement au milieu du chemin. Alors peut-être serait-il intéressant de cesser de dépenser inutilement nos moyens limités et de concentrer les efforts sur les aspects importants. L’enjeu étant de définir cet aspect.

Il est notable aujourd’hui, du fait de l’actualité, des régulations ou enjeux métiers, que la gestion des risques cyber soit LE sujet. Encore faut-il pour les professionnels de la sécurité un certain effort de vulgarisation et d’éducation afin que les décideurs puissent appréhender les dynamiques liées à ce sujet et les réponses possibles. Pour les spécialistes, cela nécessite aussi de prendre un peu de recul afin de comprendre les enjeux business et de cesser de penser que la cybersécurité n’est qu’un enjeu technologique. 

Historiquement, du fait de cet écart entre le management et l’Homme Sécurité, celui-ci incarne trop souvent la difficulté ou la complexité. La sécurité est d’abord une question d’éducation et de sensibilisation, et non pas une pure réponse technologique.

Ainsi, aujourd’hui, il devient indispensable de changer d’approche et d’aligner les objectifs de chaque partie prenante en considérant quelques éléments:

  • Penser par les risques, et non plus par la peur.
  • Piloter sa maturité cyber, et non pas la subir.
  • Accepter l’incident et se préparer à y répondre.

Si l’on considère et que l’on accepte que l’enjeu soit de se doter de capacités pour répondre aux risques auxquels l’entreprise est exposée, et non plus de penser que le but soit la sécurisation absolue (quête futile et irréalisable), il est alors possible de répondre à la problématique cyber de manière raisonnable et raisonnée.

Une gestion pertinente de la sécurité, dans une période où la digitalisation et la gestion des données sont à l’agenda de tous les plans stratégiques, permet une meilleure mise en œuvre de projet. 

Le temps où la cybersécurité était une commodité que l’on acquiert dans le cadre d’un appel d’offres soumis aux règles du plus offrant est révolu! De même, il est fini le temps où chaque entreprise imaginait construire sa propre capacité cybersécurité et répondre efficacement à la menace.

Aujourd’hui, les entreprises qui ont atteint un stade de maturité adéquate rentrent dans un vrai partenariat avec les professionnels de sécurité afin de disposer des compétences et des capacités adaptées.

Disposer de capacités financières n’est plus suffisant. Aujourd’hui, dans une période où les compétences et les ressources en cyber sont limitées, il est d’autant plus important pour les organisations de s’inscrire dans des schémas de partenariat.

L’approche cybersécurité doit s’inscrire dans un souhait d’obtenir un niveau de maturité aligné sur l’appétit au risque de l’entreprise. Il nécessite de définir et de mesurer celui-ci et d’inscrire la bonne démarche tant au quotidien qu’au travers des projets métiers. 

Il est en outre indispensable de se projeter dans la situation de crise cybersécurité à venir. Elle est aujourd’hui inévitable pour les organisations. La question n’est pas la possibilité, mais plutôt quand? Et dans cette optique s’y préparer.

Enfin, penser «resilience» signifie aussi penser couverture assurance. Les offres en cyberassurance aujourd’hui émergent sur le marché et représentent une composante indispensable à l’arsenal des mesures cyber d’une organisation mature et en contrôle. 

Ainsi, si à la lecture de cette note, vous vous posez des questions, voici quelques éléments pour mener votre réflexion à bien dans le cadre de votre organisation:

  • Quel est l’appétit au risque de mon organisation?
  • À quoi sommes-nous exposés?
  • Sommes-nous suffisamment éduqués au sein de l’organisation sur ces sujets?
  • Quelle est l’efficacité de ce que nous avons construit à ce jour?
  • Est-ce que notre approche sécurité supporte réellement les enjeux métiers, mais aussi, est-ce que je les connais?
  • Inversement, connaissant mes enjeux métiers, sommes-nous en mesure de les accompagner aussi bien sur le sujet vie privée que sécurité?
  • Sommes-nous prêts à traiter un incident cyber?
  • Sommes-nous couverts en termes d’assurance?

N’oublions pas que dans une économie digitale et de la confiance, la composante cybersécurité est un pôle structurant et majeur de la pérennité des organisations. La lecture d’incidents et de leurs conséquences dans la presse n’en est qu’une malheureuse illustration.

 

Si vous êtes dans le domaine cyber, rejoignez-nous lors de nos sessions Excellium University pour aborder ces sujets. Si vous êtes plutôt dans une posture de management, pourquoi ne pas participer à la prochaine session de l’ILA sur cette thématique?

    

Retrouvez toute l’actualité Cybersecurity Corner