Cybersécurité : des indicateurs de risque fondés sur l’analytique

Les connaissances en cybersécurité sont essentielles en entreprise. Une gestion efficace des risques passe notamment par une meilleure coordination entre les parties prenantes. Mieux vaut établir des indicateurs de risque en employant une analyse des données qui exclut à la fois les biais, l’ignorance et la naïveté.

Les menaces qui pèsent sur l’entreprise sont aujourd’hui trop complexes pour que le service en charge de la sécurité des systèmes informatiques soit en mesure d’établir un unique indicateur de risque pour les membres du conseil d’administration. Les dirigeants doivent être conscients que les vulnérabilités peuvent être liées tant au comportement des collaborateurs qu’à des défaillances technologiques ou à des aléas extérieurs. Sans informations contextuelles, les informations que les équipes de sécurité peuvent communiquer ne seront que des mesures techniques (nombre d’accès au pare-feu, quantité de virus entrants, etc.) qui auront peu de sens du point de vue des décideurs.

 

La mise en œuvre d’indicateurs fondés sur l’analyse des données nécessite l’engagement des dirigeants

 

Les données collectées lors des incidents s’avèrent toutefois utiles une fois transformées en connaissances exploitables par un traitement analytique. Elles permettent alors d’aboutir à des mesures interprétables, puis d’élaborer un système d’indicateurs plus intelligent pour une prise en charge directe par les responsables. Trois types d’indicateurs de risque sont utiles, pour les risques stratégiques (par exemple un décalage entre les risques pris par l’entreprise et sa tolérance réelle au risque), tactiques (par exemple les risques liés à la chaîne logistique) et opérationnels (par exemple le taux d’incidents évités de peu ou near-miss). En d’autres termes, avec ces nouvelles connaissances, chaque partie prenante dispose de moyens significatifs pour réagir face à une cybermenace. La bonne mise en œuvre de tels indicateurs requiert néanmoins un engagement des dirigeants et un changement culturel au sein de l’entreprise.

 

Lire l’article

 

En complément :

un article au sujet de la cybersécurité prédictive

et un autre à propos de l’excès de confiance des dirigeants s’agissant de cybersécurité

et un dernier sur la réglementation européenne en matière de cybersécurité