Javier Dominguez, responsable de la sécurité de l’information chez Commvault, aborde les cinq niveaux distincts de maturité en cybersécurité. “Au stade le plus précoce, la sécurité peut être gérée par des individus qui ne font que répondre aux commandes”, explique-t-il, “tandis qu’au niveau le plus avancé, les responsables de la sécurité de l’information collaborent avec le conseil d’administration pour intégrer la cybersécurité dans tous les aspects de l’entreprise.”
Les responsables de la sécurité de l’information doivent faire face à un fardeau de responsabilités de plus en plus pesant, les cyberattaques atteignant des niveaux records, selon Check Point Research. Ce dernier a révélé que le nombre de cyberattaques mondiales au troisième trimestre 2024 avait augmenté de manière spectaculaire de 75 % par rapport à l’année précédente.
Malgré cette hausse importante des menaces, une enquête récente de Commvault a montré que seulement 13 % des organisations mondiales étaient suffisamment “matures sur le plan cyber” pour atténuer efficacement et réagir après une attaque. Ces rares organisations ont réussi à récupérer 41 % plus rapidement d’un incident par rapport aux répondants se situant au niveau le plus bas de l’échelle.
Cette différence significative dans la rapidité de la récupération peut s’expliquer par plusieurs indicateurs clés de résilience. Ils ont permis de comprendre pourquoi certaines entreprises pouvaient restaurer rapidement leurs données et reprendre leurs opérations normales, tandis que d’autres échouaient. En particulier, il a été souligné l’importance de disposer d’outils de sécurité capables de fournir des alertes précoces concernant les risques, y compris les risques internes, accompagnés de procédures et de processus clairement définis pour la réponse aux incidents.
Il est également crucial d’avoir un site de secours fiable ou un système de sauvegarde secondaire avec un environnement isolé pour stocker une copie immuable des données essentielles. Les tests fréquents des pratiques de récupération en cas de cyberattaque sont tout aussi importants, afin de garantir que les processus restent adaptés et à jour.
Évaluation des niveaux de maturité des CISO
Étant donné que les CISO ont la responsabilité de s’assurer que ces mesures cruciales sont mises en place et testées régulièrement, il est légitime de se demander si les dirigeants d’entreprise savent s’ils possèdent la bonne personne, soutenue par les bonnes ressources, pour gérer leurs opérations de sécurité.
Les organisations comptent beaucoup sur leurs CISO pour protéger leurs opérations contre les cyberattaques, mais leur niveau d’autorité varie considérablement, influençant la maturité cybernétique de l’organisation. À un stade précoce, la sécurité peut être entre les mains d’individus qui ne font que suivre les procédures, tandis qu’à un niveau plus avancé, les CISO collaborent avec le conseil d’administration pour s’assurer que la cybersécurité est intégrée dans tous les aspects de l’entreprise.
Pour comprendre où se situe une organisation dans ce cycle de maturité et comment cela influe sur les risques et la résilience en matière de cybersécurité, on peut généralement distinguer cinq phases.
Sécurité “check box”
Dans les organisations les moins matures, les personnes chargées de la sécurité ne sont souvent pas des décideurs, et la plupart d’entre elles n’ont pas de rôle de CISO dédié. Au lieu de cela, la cybersécurité est souvent gérée par une partie de l’équipe informatique, qui rend compte à un gestionnaire informatique de niveau intermédiaire ou éventuellement au CIO. Les responsabilités sont souvent combinées avec les tâches quotidiennes nécessaires pour maintenir l’infrastructure technique, comme la configuration de serveurs, l’installation de mises à jour logicielles et la préparation des ordinateurs portables.
Ces organisations sont généralement de petite taille, souvent des entreprises privées n’ayant pas d’obligations envers des actionnaires et subissant moins de pressions réglementaires.
Les autres priorités, telles que les ventes et les fonctions commerciales, prennent souvent le pas. Par conséquent, des mesures de protection importantes comme l’authentification à plusieurs facteurs peuvent ne pas être mises en œuvre, car elles sont considérées comme restrictives. Dans certains cas, la cybersécurité est perçue comme un frein à la productivité et est reléguée à un simple exercice de “check box”.
- Le moment propice pour un CISO
À mesure qu’une entreprise se développe, son exposition aux attaques s’élargit, devenant une cible potentiellement attrayante pour les hackers. Plus il y a d’employés, de clients et de fournisseurs, plus il y a de processus et d’applications, ce qui crée d’autres vulnérabilités exploitables par les attaquants.
À ce stade, la cybersécurité prend de l’importance dans l’ordre du jour de la direction, et les entreprises commencent à envisager le recrutement d’un professionnel senior en cybersécurité ou d’un CISO. Dans cette étape précoce, le rôle est souvent décrit comme un poste technique avec l’attente que le titulaire consacre une partie de son temps au code avec les équipes de développement. Il y a souvent peu ou pas de possibilité pour le CISO de planifier et d’implémenter une stratégie cyber globale.
Les exigences en matière de conformité commencent également à être mieux prises en compte, avec le déploiement de capacités formelles de surveillance et d’audit, utilisant des ressources internes ou une expertise externe.
C’est le moment où les équipes informatique et sécurité doivent établir des canaux de communication efficaces pour garantir que les objectifs de sécurité sont convenus mutuellement, évitant ainsi l’apparition d’un fossé entre les deux fonctions. Si le CISO et le CIO interagissent et communiquent régulièrement, cela promet une coopération productive entre leurs équipes.
Rapidement, il devient évident que le CISO a besoin d’une autonomie accrue pour évaluer et déployer des mesures de sécurité et des procédures à travers l’organisation. À ce stade, le pouvoir décisionnel peut encore se limiter à la recommandation de technologies pour défendre, détecter et se remettre des attaques. Alors que les CISO doivent avoir l’autorité nécessaire pour mettre en œuvre des mesures plus étendues afin de protéger des domaines tels que la sécurité du cloud et contrôler l’accès à tous les systèmes d’entreprise avec des solutions de gestion des accès.
Bien que d’autres dirigeants puissent exprimer des inquiétudes quant à ce que les initiatives de sécurité freinent le temps de mise sur le marché, c’est à ce moment-là que les dirigeants doivent soutenir le CISO et ses nouvelles initiatives en matière de cybersécurité.
Bien que l’informatique et la sécurité soient désormais des équipes distinctes, le CIO et le CISO devraient continuer à travailler en étroite collaboration pour équilibrer les objectifs informatiques avec les exigences de sécurité. Cette harmonie continue est essentielle pour la sécurité et le bon fonctionnement de l’entreprise.
Lorsque les organisations atteignent la quasi-totalité de leur maturité, le CISO participe à des réunions stratégiques avec le conseil d’administration, conseillant sur les risques liés à la cybersécurité, la résilience et les capacités de récupération. En collaboration avec l’équipe dirigeante, le CISO détermine proactivement la tolérance de l’organisation au risque et fournit des analyses pour démontrer les changements dans le profil de risque de l’organisation. De plus, il élabore la stratégie appropriée et les politiques de sécurité pour rester dans les tolérances convenues.
À ce niveau avancé, les CISO conseillent également le conseil d’administration sur les avantages et les préoccupations liés aux technologies émergentes telles que l’IA. La cybersécurité est désormais un élément établi de la planification stratégique, tout comme de la planification opérationnelle.
Pour les organisations qui atteignent le stade ultime, la sécurité est intégrée dans l’ADN de l’organisation. Suivant les principes de conception sécurisée, les employés de toute l’entreprise respectent les processus et les politiques de sécurité. C’est à ce stade que la cybersécurité est ancrée dans la fondation de toutes les activités de l’entreprise. Les tests continus des systèmes d’entreprise sont attendus, et les équipes sont bien entraînées à la gestion des incidents et à la récupération des données.
Planification du cycle de maturité
Il est important de reconnaître que, en matière de cybersécurité, aucune organisation ne se ressemble. Chacune possède sa propre infrastructure technique, ses méthodes de travail et ses objectifs stratégiques. Les entreprises publiques auront des objectifs différents de celles privées. De même, les grandes entreprises disposeront de ressources et d’obligations différentes par rapport aux plus petites structures.
Par conséquent, évaluer la vitesse de progression à travers le cycle de maturité en matière de cybersécurité n’est pas une tâche simple. Cependant, en comprenant les caractéristiques de chaque étape, les CIO et les dirigeants d’entreprise peuvent mieux aligner le développement de candidats internes ou le recrutement d’un CISO avec les compétences et qualités appropriées à leurs besoins spécifiques. Cela contribuera à établir un niveau de maturité qui correspond à la tolérance au risque de leur organisation, alors que l’assaut des attaques en cybersécurité se poursuit sans relâche jusqu’en 2025.
Bon à savoir
- Les entreprises doivent toujours évaluer leur niveau de maturité en cybersécurité pour anticiper les menaces.
- La formation continue des équipes en matière de cybersécurité est cruciale pour rester à jour face aux nouvelles menaces.
- Des outils de cybersécurité performants peuvent faire la différence en cas d’incident.
En somme, la cybersécurité ne doit pas être perçue comme une simple obligation, mais plutôt comme un élément fondamental de la stratégie d’entreprise globale. En intégrant la cybersécurité dès le départ, les organisations peuvent non seulement se prémunir contre les risques, mais également renforcer leur image de marque et la confiance de leurs clients. Comment envisagez-vous de faire évoluer votre approche en matière de cybersécurité ?