L’émergence d’une nouvelle directive majeure est l’occasion pour les responsables de la sécurité de faire des prouesses.
Tom Ascroft, Chief Information Security Officer (CISO), Unit4
L’un des multiples défis de la sécurité de l’information est de déterminer les montants à dépenser, où et dans quoi. Si vous n’investissez pas assez, vous augmentez votre profil de risque ; si vous dépensez trop, les DAF commencent à froncer les sourcils. Une tension permanente entre les deux options est naturelle, mais avec des réglementations telles que NIS2 et DORA qui atteignent des stades critiques de mise en œuvre, il est temps une fois de plus d’examiner les moyens qui existent pour atténuer les risques d’une manière planifiée et ordonnée.
Les frameworks et les normes sont des outils utiles pour évaluer les risques et les traiter. Les RSSI, les DSI et les autres responsables informatiques ont tout intérêt à les exploiter pour vérifier la réalité de leurs plans et convaincre de la pertinence des approches envisagées. Un certain nombre d’entre elles ont déjà résisté à l’épreuve du temps. Le modèle de maturité des capacités de Carnegie Mellon, associé aux contrôles des normes ISO 27001 à SOC2, ainsi qu’aux itérations du NIST, permet de mesurer le degré de maturité des processus d’entreprise et de mettre en place des mesures de protection pour attester des niveaux de conformité. C’est une aubaine pour tout responsable de la sécurité qui souhaite répondre à la question la plus générale : que faisons-nous pour sécuriser notre entreprise ?
En combinant ces modèles, il est possible d’appréhender la complexité des questions de sécurité à multiples facettes, ce qui est facilement compréhensible pour les dirigeants.
Le sous-investissement n’est pas une option
La tendance à la baisse des investissements en matière de sécurité est une menace constante à laquelle répond la nouvelle législation. À commencer par le RGPD, dont les sanctions ont obligé les entreprises à prendre conscience et à investir plutôt que d’être exposées à la pleine force de ces lois. L’émergence de la NIS2, qui entrera en vigueur en octobre de cette année, mérite d’être considérée comme une opportunité en vue de repenser les choses. Les amendes étant désormais cumulables avec celles du RGPD, l’important est de prendre de l’avance sur les risques qui se multiplient et d’agir en tant que leader progressiste en matière de cyberrésilience, de conformité et de gouvernance.
La NIS2 revêt un intérêt particulier, car elle a élargi son champ d’application pour inclure davantage de secteurs et d’entités essentiels à l’économie et à la société. En imposant des mesures plus strictes en matière de gestion des risques, de signalement des incidents et de sécurité de la chaîne d’approvisionnement, elle accélère le délai de signalement des infractions. Les entreprises doivent donc prendre les devants, faute de quoi elles s’exposent à des mesures d’application plus strictes. Certains ne manqueront pas d’affirmer qu’il ne s’agit que d’une bureaucratie supplémentaire, mais les avantages de la conformité à la norme NIS2 sont considérables, notamment en termes de continuité des activités, de renforcement de la gestion de la chaîne d’approvisionnement et de gains d’efficacité qui se traduisent par des gains de productivité.
Les responsables informatiques ont tout intérêt à se familiariser dès maintenant avec la NIS2, si cela n’est pas déjà fait, car elle exige un sentiment d’urgence quant à la rapidité de réaction aux événements et aux infractions. À l’instar des constructeurs automobiles qui ont adopté des mesures de sécurité pour les passagers en installant des ceintures de sécurité dans les voitures, nombreux sont ceux qui sont allés beaucoup plus loin en installant des airbags et l’ABS bien avant les autres. Dans le même ordre d’idées, les entreprises de sécurité de l’information les mieux gérées auront pris des mesures pour améliorer la maturité des contrôles de sécurité avant même qu’ils ne deviennent obligatoires. Cette démarche consiste à s’imposer des normes plus strictes, à étudier l’analyse des lacunes et à faire ce qu’il faut. De même, la loi DORA, dont la mise en œuvre est prévue en janvier 2025 pour les entreprises soumises à une réglementation financière, établit un modèle pour une plus grande résilience organisationnelle qui mobilisera tous les esprits et les incitera à se concentrer davantage sur l’essentiel.
Les dépenses en matière de sécurité ne peuvent pas être considérées comme un simple avantage. Les risques en matière de sécurité n’ont jamais été aussi forts et la quantification des risques sous forme d’amendes, d’atteintes à la réputation, de pertes de service, de pénalités pour les accords de niveau de service, etc. sont autant de moyens de donner vie à ce domaine technique d’une manière compréhensible pour tous les acteurs de l’entreprise. La comparaison des performances peut être utile. Les offres commerciales telles que le Gartner IT Security Maturity Benchmark constituent des références utiles pour évaluer rapidement l’état de préparation du contrôle de la sécurité de l’information.
Avec le recul, tout paraît clair, c’est pourquoi le travail du responsable de la sécurité consiste à montrer qu’il a pris toutes les mesures crédibles, fait preuve de diligence raisonnable, par exemple en identifiant les acteurs de la menace, démontré sa responsabilité et fixé le rapport risque/action à un niveau acceptable.
De même que le sous-investissement aboutit à l’accumulation de dettes techniques et nuit à la capacité d’adaptation et d’innovation de l’entreprise, le fait de ne pas tenir compte de l’évolution des menaces en matière de sécurité entraîne des risques de sanctions, mais indique également que l’entreprise ne dispose pas de l’infrastructure et de la gouvernance des données requises pour exceller. Agissez dès à présent pour anticiper la situation et éviter de mettre votre entreprise en péril. Vous bénéficierez également des avantages d’une architecture informatique robuste et résiliente.
