Investir dans votre cybersécurité ne vous fera pas gagner d’argent. Découvrez 3 bonnes raisons de changer de point de vue : Crise, Conformité et Conscience.
Renforcer la sécurité des systèmes d’information ne fait pas gagner d’argent. Cependant, un incident de sécurité majeur en fera certainement perdre beaucoup.
Alors, qu’est-ce qui motive une organisation à mesurer, prioriser et mettre en place des mesures de sécurité informatique ?
Voici les 3C qui résument les motivations principales: Crise, Conformité et Conscience. Chaque catégorie démontre une maturité croissante.
Renforcer la cybersécurité suite à une crise
Dans bien des cas, la survenance d’un incident de sécurité est le facteur déclencheur. En urgence, l’entreprise doit alors récupérer et restaurer les systèmes affectés. Puis, elle met en place des mesures de sécurité nécessaires de façon réactive. En effet, si une organisation restaure des systèmes vulnérables, ce n’est qu’une question de temps avant qu’ils soient à nouveau compromis.
Les parties prenantes (clients, actionnaires, partenaires) souhaitent aussi voir l’entreprise se responsabiliser et corriger ses vulnérabilités. Les dirigeants de l’entreprise victime doivent alors justifier de moyens et plans d’actions concrets.
Par expérience, il est plus coûteux de mettre en place des projets de sécurité dans l’urgence que de les planifier. Sous la pression, les employés doivent accepter des contrôles de sécurité plus restrictifs. L’incident de sécurité justifiant ces mesures, l’utilisabilité des systèmes peut alors se dégrader et la productivité décliner.
Bref, la crise est encore trop souvent ce qui pousse une organisation à mettre en place des mesures de sécurité.
Répondre à des exigences de conformité
Le déploiement de contrôles de sécurité par la conformité est une approche qui demeure assez réactive. En effet, les actions sont prises lorsque l’entreprise se voit dans l’obligation de se conformer à une exigence contractuelle, réglementaire ou de l’industrie.
Par exemple, un appel d’offre peut contenir des exigences spécifiques à la protection des données ou à une norme. Souvent, c’est une nouvelle réglementation qui contraint les organisations à se mettre en conformité. La croissance sur de nouveaux marchés réglementés peut aussi nécessiter la mise en place de cadres de contrôles de sécurité.
De plus, il ne faut pas oublier qu’une organisation peut être conforme sans être sécuritaire. Les cadres de contrôle de conformité sont le plus souvent tactiques et non alignés avec la stratégie d’entreprise. Du fait de la nature dynamique des cyber risques, les exigences de conformité sont généralement dépassées lorsqu’elles sont approuvées et rendues obligatoires.
La conformité est toutefois un excellent point de départ pour implanter des mesures de sécurité et comprend une motivation financière (perte ou gain d’un contrat, amendes suite à une condamnation).
Prendre conscience du risque
La prise de conscience est révélatrice d’une décision de gérer le risque de cybersécurité, au même titre que les autres risques de l’organisation.
La demande initiale peut venir des équipes techniques et opérationnelle qui redoutent un incident. Mais de plus en plus souvent, ce sont les dirigeants qui expriment la volonté de mesurer, prioriser et réduire le risque de sécurité. Parfois, dans une démarche de transfert du risque à un assureur (cyber assurance), l’organisation doit justifier un plan d’action et d’amélioration des mesures de sécurité.
Cette démarche consciente et basée sur les risques est la plus efficace. Puisque les dirigeants sont conscients du risque, ils font la promotion des comportements et réflexes de sécurité. La culture d’entreprise évolue en intégrant les bonnes actions. L’organisation peut alors anticiper, aligner, préparer et mettre en œuvre son plan directeur sécurité. Et cela inclus aussi un plan de réponse aux incidents sécurité pour faire face à une éventuelle crise !
Comme pour tout évènement, avoir conscience du risque donne une longueur d’avance. Les approches réglementaires, qui obligent l’organisation à poser des actions, ou correctives suite à un incident sont moins efficaces et plus coûteuses.
Comment voyez-vous la cybersécurité dans votre organisation? Êtes-vous proactifs ou réactifs?