Découvrez pourquoi les meilleures équipes de sécurité informatique ne fonctionnent pas discrètement en retrait et pourquoi c’est une bonne chose.
Si vous n’entendez aucun problème de la part de votre équipe de sécurité informatique, ce n’est pas parce que vous ne faites pas face à des menaces de cybersécurité. C’est probablement parce qu’ils n’ont pas identifié vos vulnérabilités en cybersécurité.
Quand il s’agit de cybersécurité, pas de nouvelles n’est pas une bonne nouvelle.
Votre équipe de sécurité informatique ne peut pas simplement maintenir le statu quo ou « cocher les cases » pour s’assurer que vous réussissez les audits. Ils doivent créer des conflits. Pourquoi?
La conformité n’est pas synonyme de sécurité
Vous avez bien lu. La conformité ne signifie pas que vous êtes en sécurité. La volonté d’associer les plans de cybersécurité aux catalogues de contrôle de cybersécurité courants est plus souvent motivée par le désir d’obtenir et de maintenir la conformité avec des certifications propres à l’industrie. Les certifications sont devenues la clé pour que les entreprises fassent confiance à celles qui ont obtenu la certification désirée. Cela indique que les plans de sécurité de l’information ou de cybersécurité de l’entreprise sont établis, testés et efficaces.
Les organismes d’audit tiers comme PricewaterhouseCoopers, Ernest & Young et Deloitte peuvent représenter un engagement coûteux et démontrent l’engagement d’une entreprise à obtenir la certification de conformité. Elles servent à fournir des revues détaillées des programmes de cybersécurité d’une entreprise dans l’espoir d’obtenir diverses certifications.
« Il est crucial de se rappeler que de nombreuses — sinon la plupart — des violations divulguées ces dernières années se sont produites dans des entreprises conformes. Cela signifie que la conformité PCI, par exemple, n’a pas réussi à empêcher de nombreux détaillants, institutions de services financiers et fournisseurs d’hébergement web d’être compromis. » — Semaine de la sécurité
Ces audits tiers fournissent-ils vraiment un aperçu de la capacité d’une entreprise à mettre en œuvre son plan cyber et à effectuer la réponse aux incidents au besoin?
Contrairement aux processus mis en œuvre par le gouvernement, les méthodes utilisées par ces organisations tierces pour effectuer leurs audits peuvent donner des résultats très différents. Pour
Les auditeurs qui s’appuient sur un échantillonnage partiel de documents auditables au sein de chacune des différentes familles de contrôles, les lacunes dans les contrôles de sécurité peuvent passer inaperçues et être masquées par la présentation d’un grand volume de politiques et procédures verbeuses.
Le risque est qu’ils ne fassent que valider que ce qui est prescrit comme norme existe dans les politiques et procédures de l’entreprise. Ce n’est certainement pas un vrai test de l’efficacité d’une entreprise pour se protéger.
Cocher les cases ne signifie pas que votre entreprise est sécurisée
Vérifier toutes les cases à cocher sur la matrice de conformité d’un vérificateur ne garantit pas la sécurité de l’entreprise. La conformité est devenue un exercice pour aider les dirigeants d’entreprise à mieux dormir la nuit.
Un équilibre entre conformité et sécurité
La recherche de la conformité est une cause noble, mais il doit y avoir un équilibre entre sécurité et conformité. Si votre équipe de sécurité se concentre uniquement sur la conformité, votre organisation fera face à des risques accrus. Les exigences axées sur la conformité sont statiques, tandis qu’un modèle de sécurité actuel est généralement dynamique. La rapidité avec laquelle la technologie et la cybercriminalité évoluent rend très difficile pour les réglementations actuelles de favoriser les meilleures pratiques en matière de sécurité.
Les entreprises doivent abandonner l’approche de conformité axée sur le minimum d’efforts et de cocher des cases, au profit d’une mentalité axée sur les objectifs, axée sur la protection des données clients plutôt que sur le remplissage de formulaires de conformité. Par conséquent, une entreprise doit adopter une approche globale de la sécurité informatique qui protège toutes vos informations et actifs, y compris vos appareils mobiles et vos utilisateurs.
Un aspect clé à aborder est votre tolérance au risque pour chaque système ou appareil, car ils nécessitent différents niveaux de protection. Par exemple, ne pas patcher l’ordinateur portable de la réceptionniste n’est pas aussi important que de ne pas patcher vos systèmes de planification des ressources d’entreprise (ERP). Votre équipe devrait examiner la critique de chaque système et décider quelles mesures de sécurité mettre en place. Ils doivent aussi proposer des mesures agressives pour protéger vos données. Même si leurs recommandations provoquent des désaccords. Les groupes de sécurité informatique les plus performants commencent des conversations difficiles qui causent des conflits entre les parties prenantes.
Quand il s’agit de cybersécurité, soyez à l’aise d’être mal à l’aise
Pour bien comprendre vos risques de sécurité, vous devez vous habituer à ces conversations inconfortables. Par exemple, plusieurs gestionnaires voient le patching comme perturbateur et ne veulent pas prendre le temps de le faire. Votre équipe de sécurité doit leur montrer pourquoi les correctifs sont importants et les risques de ne pas maintenir les appareils de votre entreprise à jour.
- Que se passerait-il si un pirate pirate pénétrait dans vos téléphones intelligents ou tablettes?
- Quelles informations pourraient-ils voler et rendre publiques?
- Comment cela mettrait-il en danger les finances ou la réputation de votre entreprise?
Votre équipe de sécurité devrait mettre les dirigeants de votre entreprise mal à l’aise pendant un court moment pendant qu’ils mettent à jour vos correctifs, car les avantages commerciaux l’emportent sur les tracas immédiats et à court terme. Ils doivent gérer tout conflit qui survient lorsqu’ils identifient les menaces et proposent des mesures pour protéger vos données. Ces discussions ne seront pas toujours faciles, mais elles sont essentielles pour réussir une stratégie de sécurité.
Prochaines étapes
Pour en savoir plus sur la préparation face à la prochaine génération de menaces en matière de sécurité informatique, lisez Le Guide ultime de la sécurité informatique d’entreprise. Vous pouvez aussi nous contacter dès aujourd’hui pour découvrir comment nous vous aidons avec votre cybersécurité.