Les organisations peuvent dépenser énormément d’argent pour la cybersécurité, qui nécessite que les gens, les processus et les outils travaillent de concert. Les cybermenaces évoluent constamment, ce qui signifie que les ensembles d’outils changent eux aussi et que les professionnels en cybersécurité doivent suivre des formations régulièrement. Ils doivent également consacrer beaucoup de temps pour participer activement aux communautés sur la cybersécurité, où ils échangent des renseignements sur les menaces toujours plus sophistiquées.

Lorsqu’on leur demande d’investir à nouveau dans les ressources et les outils de cybersécurité, et ce, sans que leur organisation n’ait jamais connu de faille majeure, les dirigeants sont en droit de se demander si tous ces investissements sont justifiés. Ils pourraient conclure qu’ils gaspillent de l’argent en finançant un programme dont la gestion doit être reprise en main.

Mais pourquoi remettent-ils ces programmes en question? Chacun sait qu’une violation de données peut s’avérer coûteuse. L’équipe de direction doit cependant gérer efficacement toutes les ressources. Ainsi, lorsqu’un programme de cybersécurité fonctionne bien, comment les dirigeants peuvent-ils déterminer le moment auquel investir et la raison pour laquelle ils devraient investir davantage?

L’an dernier, j’ai eu l’occasion d’instruire les membres d’un conseil d’administration au sujet de leur programme de cybersécurité. Les membres de ce conseil se sont montrés très compréhensifs en regard des efforts déployés en matière de cybersécurité, mais ils souhaitaient tout de même comprendre de manière plus approfondie en quoi consistaient le programme et les investissements réalisés. Afin de leur expliquer le fonctionnement du programme de cyberdéfense, nous leur avons présenté des tableaux de bord sur la cybersécurité qui illustraient les outils en utilisation, le type d’intrusions que ces derniers surveillaient et permettaient d’éviter, ainsi que le nombre d’attaques interceptées au cours d’un trimestre donné. Tous les membres du conseil d’administration ont immédiatement pris conscience du rôle quotidien du programme et ont pu comprendre plus clairement son importance – ainsi que la raison pour laquelle des investissements étaient nécessaires.

Ces simples tableaux de bord ont également fourni de l’information sur le nombre d’intrusions interceptées grâce à la participation au sein des communautés d’échange de renseignements sur la cybersécurité, où l’on aborde fréquemment le sujet de l’évolution des nouveaux types d’intrusion. Les membres du conseil d’administration ont été en mesure de comprendre de manière explicite à quel point il est important de prendre part à ces activités. Lorsqu’ils nous ont demandé de connaître le nombre d’attaques par harponnage ayant été interceptées, nous avons pu entamer une discussion sur la manière dont ces dernières sont apparues et sur l’importance de former les employés de façon continue. Tout à coup, la conversation a pris un nouveau tournant et les membres du conseil d’administration ont commencé à se demander s’ils investissaient suffisamment dans la formation sur la cybersécurité.

Les tableaux de bord sur la cybersécurité représentent un excellent moyen d’éduquer les employés à tous les échelons sur la manière de protéger leur entreprise. Le type de tableau de bord et l’information présentée ont une grande importance. Pour les tableaux de bord destinés aux dirigeants, vous devriez garder en tête les conseils suivants.

  • Connaissez vos auditeurs – Créez des tableaux de bord qui traitent de sujets auxquels ils s’intéressent et qu’ils peuvent comprendre. Évitez les solutions fondées sur les outils qui donnent trop de détails (par exemple, ceux qui offrent des précisions sur les tentatives échouées et les tendances en matière d’ouverture de session). Autrement, vos conversations seront hors de propos et porteront sur des détails n’apportant rien au processus décisionnel.
  • Fournissez une vue d’ensemble des défis quotidiens – Présentez un aperçu de ce à quoi votre équipe, vos outils et vos processus sont confrontés au quotidien. Cet aperçu peut comprendre des mesures portant sur les outils utilisés ainsi que sur le nombre d’attaques contrées. Il aidera ainsi à conserver la priorité des investissements opérationnels.
  • Présentez les vulnérabilités et les risques les plus importants – Mettez en lumière les volets présentant les faiblesses du programme de cybersécurité (les personnes, les processus et les outils). Les besoins en matière de financement demeureront alors axés sur les activités appropriées. Il est important de présenter les vulnérabilités de tout programme de cybersécurité de manière transparente et de garder les dirigeants informés en tout temps.

Comme tout investissement en cybersécurité, la mise au point de tableaux de bord ne garantit pas la protection contre les intrusions. Elle peut toutefois certainement aider à mesurer l’efficacité du programme avec la transparence adéquate et renseigner ceux qui doivent prendre les décisions importantes en matière d’investissement.

À propos de l’auteur

Picture of Jim Menendez

Jim Menendez

Responsable de la pratique de cybersécurité des États-Unis, CGI Federal

Jim soutient la pratique de cybersécurité de CGI en assurant la gestion des services-conseils en sécurité, de l’ingénierie, de la consultation et des services en gestion déléguée pour nos clients des États-Unis. Il pilote le développement des activités de cybersécurité au sein des marchés public ...

Ajouter un commentaire

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Règle de modération du blog et conditions d'utilisation