Toute organisation est confrontée à des risques. C’est la façon dont chaque organisation est préparée à atténuer ces risques qui fait la différence.
Au fil des ans, on a beaucoup discuté des modèles de maturité de la sécurité et de la façon dont, s’ils sont alignés sur leur programme de sécurité informatique et la stratégie globale de l’entreprise, ils peuvent bénéficier aux organisations. En supposant que les processus soient suivis et que des révisions périodiques soient organisées, les entreprises qui évaluent leur programme de sécurité en fonction d’un modèle seront mieux préparées à s’adapter à un changement interne de l’entreprise ou à un événement externe, comme une pandémie mondiale et un mandat de télétravail.
Ces modèles ne manquent pas ; certains sont utilisés pour calculer la formalité et l’optimisation des processus de génie logiciel depuis 1986.
Ces évaluations portent généralement sur plusieurs concepts, comme le personnel, les processus, les politiques, les technologies, les procédures, la mise en œuvre, les tests et l’intégration.
Si ces modèles peuvent préserver l’honnêteté d’une organisation et lui permettre de fonctionner de manière durable, la mise en place d’un programme de sécurité informatique mature consiste en fin de compte à démontrer ses compétences et à s’assurer que votre organisation dispose des mesures et des solutions nécessaires pour continuer à fonctionner correctement quoi qu’il arrive.
L’utilisation d’un modèle de maturité pour quantifier le programme de sécurité informatique de l’organisation peut également optimiser les efforts que vous avez déployés jusqu’à présent et servir d’investissement dans l’avenir de votre marque. La complexité et la subjectivité de certains modèles les ont souvent relégués à des discussions intéressantes, mais essentiellement académiques.
Forrester Research, Inc. a récemment mis à jour son Modèle de maturité de la sécurité informatique qui repose sur un examen rigoureux des dernières normes de sécurité ISO, ITIL, NIST et SANS. Un grand avantage du modèle Forrester est sa simplicité. Il condense la maturation de la sécurité en 20 activités essentielles, organisées autour de quatre compétences : la supervision, les technologies, les processus et le personnel. Il propose un schéma directeur plus pragmatique et plus facilement exploitable que beaucoup d’autres modèles.
Récapitulons chacune des compétences :
SUPERVISION
Selon l’étude « Gauge Your Information Security Maturity (Évaluer la maturité de votre sécurité informatique) », Forrester Research, Inc. du 20 novembre 2020, la capacité à démontrer la supervision d’un programme de sécurité informatique est largement corrélée à l’agilité nécessaire pour répondre aux besoins de l’entreprise tout en s’adaptant aux conditions actuelles. Cette compétence est ancrée dans la définition et la réalisation d’objectifs qui soutiennent les objectifs de l’entreprise, ainsi que l’atténuation des risques, principalement par le biais de politiques et de contrôles. Satisfaire à cette compétence exige également une réponse efficace à la gestion des risques, des audits et une gouvernance des tierces parties.
TECHNOLOGIES
Cette compétence dépend fortement de la capacité d’une organisation à protéger les données dans toute l’entreprise. Les organisations doivent pouvoir maintenir la confidentialité, l’intégrité et la disponibilité des données d’entreprise où qu’elles se trouvent, y compris dans le cloud sur des serveurs, systèmes, applications et terminaux. Les organisations doivent aussi être en mesure de « protéger les contenus propriétaires ou confidentiels contre toute mauvaise manipulation », quel que soit leur emplacement ou leur hébergement. Il ne suffit pas d’avoir mis en place les technologies requises. Ces outils ont besoin de processus et de personnel pour les superviser et s’assurer de la fiabilité et de la sécurité de leur gestion.
PROCESSUS
En ce qui concerne les processus, cette compétence décrit les étapes nécessaires pour mener à bien les activités quotidiennes destinées à atténuer les risques. Il est essentiel pour cela de disposer d’une équipe dédiée à la détection des menaces et à la remédiation, qui évalue et analyse constamment les menaces et examine les potentiels événements de sécurité susceptibles d’introduire un risque. La mise en place de processus pour identifier, classer et gérer les actifs, ainsi que la capacité à évaluer la sécurité de tierces parties, comme les vendeurs, les fournisseurs, les partenaires de services et les fournisseurs cloud, relèvent également de cette compétence. Là encore, les entreprises qui se contentent de satisfaire aux exigences ne concrétisent pas tout leur potentiel. Selon Forrester, les organisations doivent « améliorer la qualité par l’optimisation » de ces programmes et mettre en place des plans pour s’assurer que les activités ne sont pas perturbées en cas de catastrophe.
PERSONNEL
La dernière compétence, le personnel, cherche à prouver que vous disposez de la colle qui permet de tenir les autres compétences ensemble. Les équipes les plus importantes ne sont rien sans les personnes qui les soutiennent, et il en va de même pour une équipe de sécurité informatique. Il est essentiel de pouvoir définir les rôles précis et de communiquer non seulement en interne avec l’équipe, mais aussi dans toute l’organisation. Il est également nécessaire d’amener les employés à comprendre et à suivre les objectifs de sécurité et de gestion des risques.
Vous ne feriez pas aveuglément confiance à une enfant pour réparer un tuyau qui fuit dans votre sous-sol. Vous ne confieriez pas non plus votre déclaration fiscale à votre voisin. Comme pour toute compétence, le développement d’un programme de sécurité solide ne se fait pas du jour au lendemain. L’acquisition d’une certaine maîtrise prend du temps. Elle exige une stratégie minutieuse, fiable, pouvant être simplifiée au fil du temps. Il est important de pouvoir démontrer votre maturité, tant pour votre organisation que pour vos clients.
SUPERVISION
Les trois activités de Forrester dans le cadre de la compétence « Supervision » peuvent se résumer ainsi : fixer des objectifs réguliers basés sur la situation, les ressources et les besoins actuels de l’entreprise, puis élaborer des politiques et des contrôles concrets pour atteindre ces objectifs. Si la plupart des équipes de sécurité parviennent très bien à évaluer la situation actuelle et leurs ressources, beaucoup d’entre elles ne sont pas en mesure de comprendre et de communiquer leur rapport avec les besoins de l’entreprise.
Dès que vous déployez notre logiciel sur les terminaux, vous commencez à découvrir où se trouvent les données sensibles, comment elles circulent et où elles sont vulnérables dans l’entreprise, avant même d’avoir créé des politiques. Les enseignements que vous tirez de cette visibilité facilitent grandement l’implication des cadres dirigeants de l’entreprise et la collaboration avec eux pour trouver le juste équilibre entre les besoins de sécurité et les besoins métier. Selon John Graham, ancien RSSI de Jabil Inc, « les enseignements tirés de cette approche facilitent grandement l’implication des sponsors de l’entreprise. Vous pouvez leur donner des exemples concrets, compréhensibles et parlants, au lieu de politiques abstraites. »
En bref, grâce à cette approche, vos objectifs, politiques et contrôles en matière de compétences de Supervision s’appuient sur des informations vérifiées et, ce qui est peut-être plus important encore, ils sont élaborés et optimisés en collaboration avec les dirigeants de l’entreprise.
TECHNOLOGIES
Les six activités de Forrester dans le cadre de la compétence Technologies visent toutes à garantir la confidentialité, l’intégrité et la disponibilité (CID) de l’infrastructure informatique, des applications et des données de l’entreprise. L’une des principales leçons que les RSSI ont tirée des violations majeures de ces dernières années est la priorité de la protection des données sur celle de l’infrastructure. En ce sens, l’activité no 5 de Forrester (la capacité à préserver la CID des données d’entreprise indépendamment de l’emplacement ou du modèle d’hébergement) se retrouve en tête de liste sous la rubrique Technologies.
DG a été fondé par un groupe de professionnels de la biotechnologie dont l’entreprise a failli perdre sa propriété intellectuelle. Cette propriété intellectuelle était l’élément vital de l’entreprise et ils ont donc compris que la CID concernait principalement les données qu’il faut protéger. La puissance de notre solution tient dans le fait qu’elle est née sans parti pris envers la communauté des auditeurs, mais avec l’objectif avoué de comprendre, contrôler et protéger les données. Nos produits, nos services et notre équipe d’experts s’attellent sans relâche à préserver la confidentialité, l’intégrité et la disponibilité des données d’entreprise.
Par Tim Bandos, vice-président de la cybersécurité chez Digital Guardian