Dans son baromètre de la cybersécurité des entreprises publié en janvier 2021, le CESIN partageait un constat peu rassurant sur la vulnérabilité des entreprises aux cyber-attaques / ransomwares, avec 57% d’entre elles déclarant avoir connu au moins une cyber-attaque en 2020, et seulement 46% se disant confiantes quant à leur capacité de réponse à une cyber-attaque.
Paradoxalement lorsque les regards se sont portés sur le budget IT consacré à la sécurité du SI, 52% du panel l’estimait à moins de 5%, et 26% entre 5 et 10%. Ce constat marque un écart important avec d’autres études recommandant un budget SSI d’au moins 10% du budget IT global.
Les entreprises doivent donc globalement faire plus pour la sécurité SI : plus de moyens pour plus de capacités de prévention, de détection et de réponse aux cyber-attaques.
Une gestion de la sécurité SI par les risques liés aux cyber-attaques permettrait de positionner la sécurité SI dans les priorités de l’entreprise et de dessiner ainsi la feuille de route stratégique et tactique de sécurité SI.
Pour cela, un process en 3 étapes simples à enclencher doit être mis en place:
- Une évaluation des risques cyber informe dans un premier temps la Direction Générale sur les impacts financiers et de notoriété auxquels elle est exposée avant prise en compte des moyens de maitrise SSI déjà en place : il s’agit de déterminer le risque cyber brut. Pour l’évaluer, un gestionnaire du risque cyber est généralement nommé et a la charge de réaliser des analyses de risque auprès des métiers de l’entreprise.
2. A partir des risques cyber bruts, le gestionnaire du risque cyber identifie, en priorité pour les risques majeurs, les moyens de maîtrise des risques SSI en place. Cela donne un état des vulnérabilités de l’entreprise pour chacun des risques cyber et permet de requalifier leur impact potentiel : il s’agit de déterminer le risque cyber résiduel.
3. De là, la Direction Générale détermine sa stratégie de couverture des risques cyber résiduels (risque inacceptable, réduction du risque, transfert du risque, risque acceptable…). Ce choix est fait en considérant les mesures de sécurité complémentaires qui seraient à mener, tant sur la technologie, que sur l’organisation et la gouvernance. Pour cela le DSI et la personne en charge de la sécurité SI identifient et priorisent les mesures complémentaires afin d’élaborer un plan d’actions SSI chiffré permettant une prise de décision éclairée par la Direction Générale.
La formalisation de ce plan d’actions est en effet indispensable pour obtenir de la Direction Générale un budget SSI à la hauteur des enjeux cyber de l’entreprise, et se mettre en capacité de traiter le risque cyber efficacement.
Commentaires récents