Publié le : 23 mars 20216 mins de lecture
Comment les responsables de la sécurité de l’information (CISO) travaillent-ils et que pensent les responsables de la sécurité de l’information dans une entreprise de la cybersécurité en général ? Quels sont les problèmes auxquels ils sont confrontés ? Pour obtenir des réponses à toutes ces questions, Kaspersky Lab a interrogé 250 agents de sécurité du monde entier. Bien que leurs opinions soient vraiment très intéressantes, on doit admettre que on ne peut pas être tous d’accord à 100%.
Généralité
Examinons d’abord l’évaluation des indicateurs clés de performance d’un CISO. Il n’est guère surprenant qu’un grand nombre de répondants aient déclaré que leur critère d’emploi le plus important est la qualité et la rapidité de traitement des interventions en cas d’incident. Dans les entreprises modernes, les cyberincidents ne sont plus considérés comme une défaillance de la sécurité. Il est agréable de voir que la plupart des spécialistes commencent à comprendre que les incidents sont inévitables et, dans la plupart des cas, normaux. Aujourd’hui, en matière de cybersécurité, la survie de l’entreprise est primordiale.
Par « survie » dans ce cas, on entend un certain niveau de protection qui peut garantir qu’en cas d’attaque APT, de fuite de données ou d’attaque massive par déni de service (DDoS), les entreprises peuvent se rétablir sans dommage sérieux, ou ne doivent pas subir plus qu’une perte minimale prédéfinie. En d’autres termes, les CISO d’aujourd’hui se concentrent principalement sur la réponse aux incidents.
D’une part, c’est une très bonne nouvelle. Parce qu’il y a quelques années encore, la cybersécurité avait une attitude de « zéro incident » et les entreprises estimaient que les RSSI devaient pouvoir protéger à 100 % l’infrastructure d’une entreprise contre tout incident. D’autre part, l’attitude actuelle qui consiste à se concentrer uniquement sur les technologies réactives n’est pas idéale. On estime que les RSSI doivent trouver le bon équilibre, car tous les éléments de l’architecture de sécurité adaptative sont importants : prévention, détection, réponse et prévision.
Risques éventuels
La plupart des RSSI conviennent que la perte de réputation, après une fuite de données, est le plus grand risque pour une entreprise. Sur ce point, on est également d’accord avec nos collègues. L’atteinte à la réputation est à la base de toutes les autres conséquences de l’incident – manque de confiance des clients, manque de ventes, baisse des stocks, etc.
La perte potentielle de la réputation d’une organisation est la véritable raison pour laquelle nous ignorons souvent de nombreux incidents de sécurité. Si une entreprise peut cacher un incident cybernétique, elle le fait – bien que certains pays aient des lois qui obligent les entreprises à informer leurs actionnaires ou leurs clients sur les questions de sécurité.
Apparemment, il existe certaines différences pour les RSSI entre les motifs des cybercriminels, les attaques parrainées par l’État et les crimes à but lucratif ce qui devrait passer en premier. Lorsqu’il s’agit de pertes de toute nature, elles représentent clairement le plus grand danger – et l’expérience a montré qu’un employé malhonnête peut potentiellement causer plus de dommages qu’un coupable extérieur.
Influence sur les décisions des entreprises
Il était particulièrement intéressant de voir comment les directeurs de la sécurité sont impliqués dans les décisions commerciales et j’ai été surpris d’apprendre que tout le monde ne pensait pas être suffisamment impliqué. Mais que signifie exactement « suffisant » pour eux ?
Il y a essentiellement deux stratégies. Les agents de sécurité peuvent contrôler et approuver chaque étape de l’entreprise ou bien agir en tant que consultants, l’entreprise préparant le terrain.
À première vue, le contrôle total semble plus efficace – et il le serait si la cybersécurité était un objectif en soi. En réalité, cependant, cette approche nécessite beaucoup plus de personnel et ralentit le développement des entreprises. Cela peut constituer un défi, en particulier pour les entreprises innovantes qui utilisent des processus commerciaux qui ne disposent pas encore des meilleures pratiques en matière de sécurité d’entreprise.
Justification du budget
Les réponses à la question « Comment justifier votre budget sans un retour sur investissement clairement structuré ? Il semble que les tactiques de peur soient les méthodes de justification les plus courantes – rapports sur les violations de la sécurité et évaluation des dommages que l’entreprise a subis lors d’attaques précédentes. Oui, cela fonctionne – une fois, ou peut-être même une deuxième fois. Mais la troisième fois, la réponse sera plutôt du genre : « Comment cela est-il géré par les autres ?
Il est plus important pour les entreprises d’en apprendre davantage sur les expériences des autres entreprises. Malheureusement, les « critères de référence et les meilleures pratiques de l’industrie » ne figurent qu’en septième position dans la liste des arguments, bien que ces informations soient faciles à trouver. Notre calculateur de sécurité informatique, par exemple, est un outil très utile.
Comme vous pouvez le constater, notre étude fournit de nombreuses pistes de réflexion ; le rapport complet est disponible sur ce lien.