Une stratégie de cybersécurité n’est pas censée être parfaite, mais elle doit être proactive, efficace, activement soutenue et évolutive. Voici les quatre étapes nécessaires pour y arriver.
Une stratégie de cybersécurité est un plan de haut niveau pour la façon dont votre organisation obtiendra ses actifs au cours des trois à cinq prochaines années. De toute évidence, parce que la technologie et les cybermenaces peuvent à la fois changer de manière imprévisible, vous devrez presque certainement mettre à jour votre stratégie plus tôt dans trois ans. Une stratégie de cybersécurité n’est pas censée être parfaite; C’est une supposition très instruite de ce que vous devez faire. Votre stratégie devrait évoluer à mesure que votre organisation et le monde qui vous entoure évoluent.
Le résultat prévu de l’élaboration et de la mise en œuvre d’une stratégie de cybersécurité est que vos actifs sont mieux sécurisés. Cela implique généralement un passage d’une approche de sécurité réactive à proactive, où vous vous concentrez davantage sur la prévention des cyberattaques et des incidents que de les réagir après coup. Mais des stratégies de cybersécurité solides prépareront également mieux les organisations à répondre aux incidents qui se produisent. En empêchant les incidents mineurs de devenir majeurs, les organisations peuvent préserver leur réputation et réduire les dommages aux employés, aux clients, aux parties prenantes, aux partenaires et autres.
Comment construisez-vous une stratégie de cybersécurité pour votre entreprise?
La construction d’une stratégie de cybersécurité pour votre entreprise demande des efforts, mais cela pourrait faire la différence entre dépasser vos concurrents et faire faillite. Voici les étapes de base pour suivre l’élaboration d’une stratégie de sécurité efficace.
Étape 1. Comprenez votre paysage cyber-menace
Avant de pouvoir comprendre votre paysage cyber-menace, vous devez examiner les types de cyberattaques auxquelles votre organisation est confrontée aujourd’hui. Quels types de cyber-menaces affectent actuellement votre organisation le plus souvent et le plus sévèrement: logiciels malveillants, phishing, menaces d’initiés ou autre chose? Vos concurrents ont-ils eu des incidents majeurs récemment, et si oui, quels types de menaces les ont provoqués?
Ensuite, mettez-vous au courant des tendances des cyber-menaces prévues qui affecteraient votre organisation. Par exemple, de nombreux chercheurs en sécurité estiment que les ransomwares deviendront une menace encore plus grande alors que les entreprises de ransomware s’épanouissent. Il y a également des préoccupations croissantes concernant les vulnérabilités de la chaîne d’approvisionnement causées par, par exemple, en achetant des composants compromis et en les utilisant au sein de votre organisation ou en leur construisant des produits que vous vendez aux consommateurs. Comprendre les menaces de cybersécurité que vous rencontrerez à l’avenir et la gravité probable de chacun d’eux est la clé de la construction d’une stratégie de cybersécurité efficace.
Étape 2. Évaluez votre maturité de cybersécurité
Une fois que vous savez ce que vous faites, vous devez faire une évaluation honnête de la maturité de la cybersécurité de votre organisation. Sélectionnez un cadre de cybersécurité, comme le cadre de cybersécurité NIST. Utilisez-le d’abord pour évaluer à quel point votre organisation est mature dans des dizaines de différentes catégories et sous-catégories, des politiques et de la gouvernance aux technologies de sécurité et aux capacités de récupération des incidents. Cette évaluation devrait inclure toutes vos technologies, de l’IT traditionnelle à la technologie opérationnelle, à l’IoT et aux systèmes cyber-physiques.
Ensuite, utilisez le même cadre de cybersécurité pour déterminer où votre organisation devrait être dans les trois à cinq prochaines années en termes de maturité pour chacune de ces catégories et sous-catégories. Si les attaques de déni de service distribuées seront une menace majeure, par exemple, vous pouvez peut-être que vos capacités de sécurité de réseau soient particulièrement matures. Si le ransomware sera votre plus grand problème de sécurité, vous assurer que vos capacités de sauvegarde et de récupération sont très matures peuvent être essentielles. Si les politiques de travail à distance tirées par le Covid-19 deviennent permanentes dans votre entreprise, les outils temporaires déployés pendant la pandémie doivent être endurcis. Les niveaux de maturité que vous ciblez sont vos nouveaux objectifs stratégiques.
Étape 3. Déterminez comment améliorer votre programme de cybersécurité
Maintenant que vous avez établi une base de référence et déterminé et où vous voulez être, vous devez déterminer les outils de cybersécurité et les capacités de cybersécurité qui vous aideront à atteindre votre destination. Dans cette étape, vous déterminez comment améliorer votre programme de cybersécurité afin d’atteindre les objectifs stratégiques que vous avez définis. Chaque amélioration consommera des ressources – argent, temps du personnel, etc. Vous devrez réfléchir à différentes options pour atteindre les objectifs et les avantages et les inconvénients de chaque option. Il se peut que vous décidiez d’externaliser certaines ou toutes vos tâches de sécurité.
Lorsque vous avez sélectionné un ensemble d’options, vous voudrez les présenter à Upper Management dans votre organisation pour leur examen, leurs commentaires et – espérons-le – Support. La modification du programme de cybersécurité peut affecter la façon dont l’entreprise est
fait, et les dirigeants doivent comprendre cela et l’accepter comme étant nécessaire afin de protéger suffisamment l’entreprise des cyber-menaces. La haute direction peut également être consciente des autres plans pour les années à venir dont vos efforts pourraient profiter.
Étape 4. Documentez votre stratégie de cybersécurité
Une fois que vous avez l’approbation de la direction, vous devez vous assurer que votre stratégie de cybersécurité est documentée en profondeur. Cela comprend la rédaction ou la mise à jour des évaluations des risques, des plans de cybersécurité, des politiques, des directives, des procédures et tout ce dont vous avez besoin pour définir ce qui est requis ou recommandé afin d’atteindre les objectifs stratégiques. Il est essentiel de savoir quelles sont les responsabilités de chaque personne.
Assurez-vous que, lorsque vous écrivez et mettez à jour ces documents, vous obtenez une participation active et des commentaires des personnes qui feront le travail associé. Vous devez également prendre le temps de leur expliquer pourquoi ces changements sont apportés et à quel point les changements sont importants pour que, espérons-le, les gens seront plus acceptants et les soutiendront.
Et n’oubliez pas que votre stratégie de cybersécurité nécessite également la mise à jour de vos efforts de sensibilisation à la cybersécurité et de formation. Tout le monde dans l’organisation a un rôle à jouer dans l’atténuation des problèmes de sécurité et l’amélioration de votre programme d’entreprise de cybersécurité. À mesure que votre profil de risque change, votre culture de cybersécurité doit également.
Conclusion
L’élaboration et la mise en œuvre d’une stratégie de cybersécurité est un processus continu et présentera de nombreux défis. Il est extrêmement important de surveiller et de réévaluer périodiquement la maturité de la cybersécurité de votre organisation pour mesurer les progrès que vous faites – ou ne pas faire – vers vos objectifs. Plus tôt vous identifiez une zone qui prend du retard, plus tôt vous pourrez y remédier et vous rattraper. La mesure des progrès devrait inclure des audits, des tests et des exercices internes et externes qui simulent ce qui se passerait dans différentes circonstances, comme un incident majeur de ransomware.
Enfin, préparez-vous à repenser votre stratégie de cybersécurité si une nouvelle menace majeure survient. L’agilité dans la sécurité est de plus en plus importante. N’ayez pas peur de mettre à jour votre stratégie à mesure que les cyber-menaces et les technologies de sécurité changent et que votre organisation acquiert de nouveaux types d’actifs qui nécessitent une sauvegarde.
