Le terme risque et le terme menace ne sont pas identiques et ne doivent pas être utilisés de manière interchangeable. Il est essentiel de repositionner les débats sur ce sujet afin de séparer et de mieux aborder ces deux termes comme des éléments distincts mais apparentés au sein d'une plus vaste réflexion.

Lorsqu'on examine spécifiquement les menaces et les vulnérabilités, il faut se concentrer sur les technologies ou les processus créés ou utilisés par les entreprises qui sont potentiellement vulnérables. Les menaces peuvent alors être considérées comme des vecteurs ou des méthodes potentiels d'exploitation de ces vulnérabilités ou de ces opportunités.

Lorsqu'il s'agit de communiquer, la simplicité est suggérée lorsque vous cherchez à gagner l'attention et l'appréciation des conseils d’administrations et de la direction sur la façon dont le risque cyber est géré. Cela permet de minimiser la complexité et de concentrer le reporting sur les impacts qui comptent.

Un problème récurrent que nous constatons est que les organisations sont souvent challengées quant à la façon de réduire les risques cyber et sur quels contrôles ils s'appuient, et au fil du temps, comment la fiabilité de ces contrôles est réellement validée.

Cette situation se produit souvent lorsqu'il n'y a pas d'accord clair au sein de l’entreprise sur ce qui constitue ce qui compte le plus pour l'entreprise. En l'absence d'harmonisation entre toutes les équipes, les questions relatives aux investissements en matière de sécurité se multiplient et les questions essentielles sur le risque organisationnel restent sans réponse.

Les équipes de sécurité doivent prendre en compte et comprendre pleinement le retour sur investissement. Celles qui ne le font pas sont incapables de défendre leurs décisions d'investissement auprès de dirigeants axés sur les affaires.

Comment déterminer votre parcours en matière de risques cyber

Les risques cyber sont un sujet vaste et profond, et il n'existe pas de processus, de technologie ou de solution unique pour les réduire. Les programmes basés sur la maturité sont un élément clé de l'orientation générale d'un programme de sécurité, mais ils ne doivent pas être le seul moteur du programme.

Un programme correctement conçu est une coordination des capacités nécessitant à la fois de définir et de s'aligner sur l'orientation et les tolérances de l'organisation, et de le lier à l'évolution du paysage des menaces. Voici quelques points essentiels à retenir lors de l'élaboration de votre programme : 

• Comprendre ce qui compte le plus : prenez le temps de comprendre les actifs critiques de l'entreprise qui sont les plus susceptibles d'avoir un impact sur votre entreprise et de vous empêcher de poursuivre votre activité s'ils sont compromis. 

• Définir et aligner les tolérances en matière de risques cyber dans l'ensemble de l'organisation : développez une vision descendante des risques cyber de l’entreprise, clarifiez les exigences de la direction, établissez et ciblez les niveaux de tolérances au risque organisationnel. 

• Identifier et modéliser les risques liés à l'architecture de sécurité des systèmes critiques : décomposez les systèmes critiques en composants et connexions, identifiez les menaces et les vulnérabilités, attribuez des risques à chaque menace et alignez-les sur les tolérances de l’entreprise en matière d'impact. 

• Identifier les risques cyber et les partenaires et portefeuilles clés : identifiez les partenaires et les entreprises dont vous dépendez fortement et faites preuve de rapidité pour évaluer les risques liés à l'intégration et à la chaîne d'approvisionnement qui pourraient exposer votre organisation, mais aussi amener votre profil de risque à des niveaux de risque inacceptables. 

• Identifier les vulnérabilités opérationnelles et les aligner sur les tolérances de risque de l’entreprise : Associez les vulnérabilités et les degrés d'exploitabilité au potentiel de compromission des systèmes essentiels à la mission, et validez-les par rapport aux tolérances de risques cyber définies. 

• Vérifier si les capacités de sécurité vont dans la bonne direction : Comparez les initiatives du programme de sécurité existant aux meilleures pratiques et validez les écarts par rapport aux pratiques standard de votre secteur et de votre région d'activité. 

Pour réussir à gérer le risque cyber, les entreprises doivent repenser et mieux identifier les menaces qui pèsent sur les éléments les plus importants pour elles, et faire en sorte que ces informations intègrent et informent le profil de risque opérationnel de l'entreprise. C'est une idée simple, mais elle est souvent absente de la plupart des programmes.

L'objectif d'une bonne gestion du risque cyber est d'aider à faire apparaître les menaces et les vulnérabilités dont l’entreprise devrait se préoccuper le plus, et qui ont la capacité de causer un impact significatif et un risque réel.

Par David GROUT, CTO EMEA & Senior Presales Director Western Europe - Mandiant