Réduire à néant ses propres efforts de sécurité en 6 leçons

  Posted On   By Bitdefender Team   Cybersécurité pour les entreprises

 

Ce ne sont pas toujours les méchants qui sabotent les efforts de sécurité d’une entreprise, parfois les organisations le font toutes seules.

Voici six erreurs répandues :

 

Les entreprises échouent à planifier

Trop d’entreprises ne parviennent pas à créer un plan de sécurité de l’information spécialement conçu et adapté à leur organisation. Lorsque le bon plan est en place, les entreprises sont en mesure d’obtenir les contrôles de sécurité dont elles ont spécifiquement besoin pour faire tout ce qui doit être fait pour assurer la sécurité des personnes, des applications et des données.

Un bon plan de sécurité implique non seulement les équipes techniques et les équipes de développement, mais aussi les services juridiques, les ressources humaines, l’audit interne, les cadres, le PDG et les membres du conseil. Son bon fonctionnement repose également sur des données (internes et externes) et des feedbacks pour mesurer son efficacité, ses coûts et l’améliorer avec le temps.

Sans plan, l’entreprise court un risque important de naviguer à vue d’une menace à l’autre et de ne jamais anticiper les risques.

 

Absence de classification des données

Un autre point important. Les entreprises qui ne savent pas où résident leurs données les plus précieuses avancent à l’aveuglette. Lorsque les données sont classées, les entreprises savent où investir leurs ressources de sécurité, en fonction de facteurs tels que l’importance commerciale des données et des systèmes pour l’exploitation de l’entreprise, la valeur financière, les mandats réglementaires qui contrôlent cette protection des données.

En classant les données, non seulement les investissements dans la sécurité sont mieux connus, mais ces efforts aideront également à informer d’autres domaines du programme de sécurité tels que la planification des réponses aux incidents et la gestion des identités et les privilèges d’accès. Sans classification correcte des données, les entreprises ne sauront pas par où commencer, alors elles investissent trop en essayant dans l’optique de tout protéger ou bien elles n’investissent pas là où il faut.

 

Ne pas comprendre la spécificité de l’organisation et de l’industrie

Chaque industrie est différente. Une entreprise dont l’actif principal repose sur les données sera sécurisée différemment de d’une autre dans le secteur du transport ; de même, les préoccupations inhérentes à certaines industries diffèrent de celles d’une entreprise de recherche et développement. Chaque organisation est alors différente en termes de culture et de tolérance au risque. Chaque fois qu’un RSSI est déconnecté des réalités de son entreprise et de son industrie, le programme de sécurité souffre parce qu’il n’est pas adapté aux particularités et aux exigences de l’industrie ou à la tolérance au risque de l’organisation.

 

Il n’y a pas d’alignement entre la sécurité et les objectifs commerciaux

À mesure que les organisations deviennent plus dépendantes des services de données et de logiciels pour exploiter leur entreprise, aligner les équipes de cybersécurité et les objectifs de l’entreprise devient encore plus crucial. Non seulement la surface d’attaque de l’organisation augmente à mesure que l’empreinte numérique augmente, mais le logiciel et les données deviennent plus importants pour la survie de l’entreprise.

Bien sûr, le fait d’avoir une bonne sécurité et un bon alignement exige une bonne communication avec les hauts dirigeants, mais aussi une connaissance de chaque unité commerciale, de ses objectifs, et de comprendre leurs besoins et de les aider à mieux gérer les risques auxquels ils feront face en essayant d’atteindre ces objectifs.

 

La conformité réglementaire entraîne la sécurité

C’est toujours un cauchemar. Les entreprises sont prises au piège entre répondre aux exigences réglementaires et « cocher les cases », si bien qu’elles ne se concentrent pas réellement sur l’atténuation des risques réels de violation. En d’autres termes, il y a une grande différence entre l’installation de toutes les bonnes technologies de sécurité, le fait d’avoir quelqu’un au poste de RSSI et la mise en place de toutes les bonnes politiques de gestion de toutes ces technologies et de soutenir le programme avec les bons processus imposés par la direction de la sécurité qui a l’autorité réelle.

 

Les chefs d’entreprise ne sont pas impliqués dans des exercices de simulation

Le test de table, un exercice qui consiste pour les membres de l’équipe à interagir, par la discussion, à la façon dont ils réagiraient à un scénario défavorable réaliste, tel qu’une attaque sur leurs données ou leurs systèmes critiques. Chaque participant doit répondre en expliquant la façon dont son organisation réagira face à une attaque, et ces exercices aident à établir les bonnes lignes de communication au cas où l’attaque venait à se produire, et à combler les lacunes dans les ressources et les capacités bien avant que tout événement indésirable se produise. Il est également essentiel que les dirigeants d’entreprise participent à ces exercices afin qu’ils identifient quelles sont les responsabilités de chaque groupe et comment aider à mieux gérer l’organisation.