Article original rédigé par : Brijesh Balakrishnan, Vice-président et Responsable mondial de la pratique de cybersécurité chez Infosys
En 2025, les dépenses mondiales des utilisateurs finaux en matière de sécurité de l’information devraient augmenter de 15 % pour atteindre 212 milliards de dollars, selon une société de veille de marché de premier plan. Avec la déploiement de plus en plus de technologies dans divers cas d’utilisation, la protection des entreprises contre les menaces cybersécuritaires devient une priorité essentielle. Cependant, il est également de plus en plus difficile de suivre l’évolution des réglementations (comme le RGPD, HIPAA, PCI DSS), qui ont vu en 2024 l’ajout majeur de la directive européenne sur la sécurité des réseaux et de l’information 2 (NIS2), de la loi sur l’IA de l’UE, du plan directeur en matière de cybersécurité pour les technologies opérationnelles de Singapour 2024, et de nouvelles directives dans le cadre de la stratégie nationale de cybersécurité des États-Unis.
En outre, les organisations sont entravées par des lacunes dans leurs capacités de gouvernance. Notre enquête Cloud Radar 2022 a révélé que 40 % des organisations n’avaient pas de politiques de gouvernance cloud adéquates, ce qui a des répercussions négatives sur les investissements en matière de sécurité et l’exposition aux risques. Une gouvernance faibles conduit directement à un manque de conformité, et potentiellement à une violation de la sécurité, à des pertes financières, à des dommages à la réputation, à des amendes et à des poursuites, dans un écosystème en évolution de réglementations et de normes à travers divers secteurs et pays. Beaucoup de ces problèmes peuvent être évités en adoptant une approche rationalisée de la conformité en matière de cybersécurité, de la gestion des risques et de la gouvernance.
La gouvernance de la cybersécurité établit un cadre permettant aux entreprises d’interconnecter leurs objectifs en matière de sécurité, de gestion des risques, de conformité et d’affaires entre les personnes, les processus et la technologie. Elle facilite la conformité aux réglementations et normes pour améliorer la gestion des risques de sécurité. Une gouvernance efficace ne se limite pas à la rédaction de politiques dans un manuel, mais s’avère être un exercice constant d’adaptation des mesures, des politiques et des contrôles de sécurité de l’organisation face à un paysage de menaces en constante évolution, en se concentrant sur les indicateurs liés à la gestion des risques cybernétiques les plus pressants.
Politiques, processus et personnes
Le chemin vers la conformité et la gouvernance implique plusieurs étapes, commençant par une évaluation des risques du paysage informatique de l’entreprise afin d’identifier les vulnérabilités et les mesures de remédiation ; la mise en place de politiques et de procédures claires est la prochaine étape – par exemple, comment crypter les données, répondre à des événements indésirables, gérer les identités et les accès, etc. Enfin, les entreprises devraient régulièrement surveiller et avoir une vue d’ensemble de l’état des contrôles de cybersécurité et des risques critiques, en s’assurant qu’elles restent conformes à toutes les lois applicables.
Cependant, au final, ce sont les personnes qui sont responsables de la gouvernance, en commençant par la direction. Le rôle des cadres supérieurs est de fournir un leadership et un soutien en ressources aux programmes de cybersécurité, mus par l’accent accru des conseils d’administration et la responsabilité attendue dans les réglementations et normes émergentes. Les employés doivent être formés aux pratiques de cybersécurité et sensibilisés à leurs responsabilités en matière de sécurité, de conformité et de gouvernance. Il doit également exister un mécanisme efficace pour garantir la conformité et établir des responsabilités, tout en mettant en place un processus de communication, de retour d’information et de reconnaissance pour encourager l’implication des employés.
Plus important encore, les organisations devraient envisager la cybersécurité non seulement comme une exigence de conformité, mais aussi comme un moyen de renforcer l’intégrité et le comportement éthique, en tant qu’élément facilitant les affaires et facteur de différenciation sur le marché.
La technologie est essentielle
Les solutions de sécurité avancées automatisent les tâches de routine pour alléger le fardeau des équipes de conformité et améliorer l’efficacité en réduisant les coûts, en augmentant la rapidité et en éliminant les erreurs manuelles. Les plates-formes de GRC (gouvernance, risque et conformité) peuvent s’intégrer aux systèmes existants pour fournir une vue intégrée et en temps réel des risques et de la conformité à travers l’entreprise, permettant ainsi aux personnes concernées de prendre des décisions opportunes et éclairées. Les organisations peuvent proactivement protéger leurs données et actifs en abordant les risques dès le départ, et élargir les initiatives de conformité pour suivre l’évolution des exigences réglementaires.
En dehors de leur efficacité, des technologies telles que l’intelligence artificielle (IA), l’apprentissage automatique (ML), le cloud et la blockchain rendent les opérations de cybersécurité plus intelligentes. L’IA et le ML peuvent identifier en temps réel des modèles anormaux indiquant des menaces potentielles et recommander des actions d’atténuation. Le cloud fournit l’infrastructure de stockage et de calcul nécessaire pour héberger les données et applications de GRC, ainsi que la scalabilité pour étendre les opérations de cybersécurité à travers divers entités commerciales et géographies. La blockchain offre un enregistrement sécurisé, transparent et immuable des données et transactions de GRC qui peut être facilement audité.
Problème universel, solution unique
Le besoin de conformité et de gouvernance en cybersécurité est universel, mais les entreprises doivent élaborer la stratégie qui leur convient, en fonction de leurs objectifs, de leur taille, de leurs ressources, de la nature de leur activité et de leurs obligations de conformité en fonction des juridictions applicables. Cela dit, chaque organisation tirerait profit d’une vision claire de la cybersécurité qui définisse les priorités, la tolérance au risque et les actifs à protéger, ainsi qu’une attribution claire des rôles et responsabilités. De plus, la conformité et la gouvernance en matière de cybersécurité doivent être intégrées dans les opérations commerciales et la culture organisationnelle pour atteindre leur objectif.
Bon à savoir
- Le cadre de la gouvernance cybersécuritaire devrait évoluer régulièrement pour s’adapter aux nouvelles menaces et réglementations.
- La formation des employés en cybersécurité est essentielle pour développer une culture d’entreprise sensible à la sécurité.
- Les technologies en cybersécurité, comme l’intelligence artificielle, jouent un rôle croissant dans l’automatisation et la détection des menaces.
En somme, alors que la cybersécurité devient de plus en plus complexe, les entreprises doivent non seulement s’efforcer de se conformer aux réglementations, mais également intégrer des pratiques de sécurité solides pour bâtir une culture organisationnelle résiliente et proactive. il semble nécessaire de grapiller des insights sur les meilleures pratiques et d’explorer en profondeur comment chaque secteur peut adapter ses stratégies en matière de sécurité. Quelles approches novatrices pourraient-elles émerger pour répondre efficacement à ces défis ?
La cybersécurité est un champ en perpétuelle évolution. C’est fascinant de voir comment les technologies comme l’IA révolutionnent nos approches. Hâte de voir les prochaines innovations !
La cybersécurité est un véritable tableau complexe où chaque coup de pinceau compte. Une œuvre collective qui nécessite créativité et esprit d’équipe pour se défendre contre les menaces.