Comment lancer un programme de cybersécurité
La cybersécurité devient rapidement l'un des risques commerciaux les plus importants à prendre en compte pour la direction. Les ransomwares, la confidentialité des données des clients et la surveillance des fournisseurs tiers ne sont que quelques-unes des questions à gérer et à prioriser au niveau de la direction. Mais ajouter le sujet de la cybernétique aux responsabilités de gestion crée souvent beaucoup d'incertitude, la plus grande étant, par où commencer ?
Voici nos conseils sur les premières étapes de la mise en place d'un programme systématique de cybersécurité sous le contrôle de la direction :
Apprenez à connaître votre situation actuelle
Cela semble évident, vous ne pouvez pas vous orienter sur une carte sans savoir d'où vous partez. Mais dans la réalité, les dirigeants, à tous les niveaux, prennent souvent des décisions rapides pour améliorer la sécurité sur la base des conseils des vendeurs de produits ou des flashs d'information, sans tenir compte de la situation globale de l'entreprise. Cela conduit souvent à se concentrer sur la technologie, mais comme toujours, il faut prendre en compte les personnes, les processus et la technologie. Dans cet ordre. Pour commencer à améliorer votre sécurité, vous devez donc savoir où vous vous situez sur la "cybercarte" :
Sensibilisation - votre équipe est-elle capable de repérer un faux e-mail ou un faux SMS ? Essayez une attaque de phishing simulée pour mesurer les taux de clics. Il sera probablement plus élevé que vous ne le pensez...
Processus - Avez-vous mis en place des processus appropriés pour la gestion des accès ou des correctifs ? Disposez-vous d'un plan de réponse aux incidents documenté et a-t-il été testé ? Savez-vous comment vos fournisseurs traitent les données personnelles de vos clients ?
Technologie - Effectuez au moins une analyse de vulnérabilité de votre infrastructure et des services Web exposés, et combinez-la avec un test de pénétration pour approfondir le sujet si nécessaire.
Faites une évaluation des risques
Utilisez les résultats des trois domaines précédents et procédez à une évaluation des risques. Quelles sont la probabilité et les conséquences pour l'entreprise si un hacker tire parti de l'un des résultats des étapes précédentes ? L'évaluation peut être approfondie ou légère, mais elle vous aidera à concentrer vos investissements sur les domaines les plus critiques en fonction des besoins de l'entreprise.
Utiliser des normes et des cadres
Définir et mettre en œuvre des contrôles de sécurité est un travail fastidieux. L'utilisation de normes accessibles au public, telles que CIS Controls ou ISO 27001, accélère réellement le travail et vous donne un bon point de référence pour les meilleures pratiques. En outre, grâce à une analyse des lacunes documentée, vous renforcez la confiance de vos clients et partenaires en étant en mesure de décrire la posture de sécurité dans un format connu et reconnu par le secteur.
Effectuez un suivi de votre chaîne d'approvisionnement
C'est un phénomène qui s'est vraiment développé ces deux dernières années. La cyber-résilience de votre entreprise dépend très probablement, d'une manière ou d'une autre, de services tiers SaaS ou externalisés. Vous devez donc avoir la même vision de la sécurité de vos partenaires que de la vôtre. Votre fournisseur a-t-il déjà été victime d'une violation ? Où les données personnelles de vos clients sont-elles stockées ou y avait-il des signes de contrôles de sécurité insuffisants lorsqu'il a effectué lui-même son dernier examen de sécurité ?
Sur la base des résultats des quatre domaines ci-dessus, vous pouvez maintenant définir votre programme de cybersécurité. Vous connaissez vos points faibles et savez à quoi consacrer votre budget en priorité. Vous disposez également des premiers paramètres pour commencer à mesurer les améliorations. Il s'agit d'une véritable approche systématique pour commencer à élaborer un programme de cybersécurité en fonction des besoins de votre entreprise.