Comme les violations de données deviennent un titre constant, la sécurité des données devrait être une préoccupation majeure pour les conseils d’administration partout dans le monde. À moins qu’un membre du conseil ait été embauché expressément pour superviser les programmes de cybersécurité, de nombreuses entreprises pourraient ne pas être prêts à faire face à divers cyber-attaques.
Ce manque de compréhension et de capacité d’entreprises est l’une des principales raisons pour lesquelles les directeurs de la sécurité de l’information manquent de ressources et de financement pour empêcher les violations de données.
Les bonnes nouvelles sont que les conseils peuvent prendre les concepts de gestion des risques qu’ils connaissent déjà bien, et les appliquer à la cybersécurité en encadrant correctement la conversation en utilisant ces six questions.
1. À quelles menaces notre entreprise fait-elle face?
Les conseils d’administration comprennent déjà les différents secteurs d’activité de leur organisation, mais ils doivent également comprendre quels types d’attaquants ciblent chaque secteur d’activité. Différentes industries et tailles d’entreprises différentes doivent se défendre contre différentes menaces. Par exemple, un petit fabricant de composants satellitaires gouvernementaux devrait s’attendre à être ciblé par des États, tandis qu’une société de gestion immobilière nationale pourrait se concentrer sur les employés qui exposent des informations par erreur ou par malveillance.
Au niveau de l’entreprise, ce processus est très similaire à l’analyse qu’ils font pour identifier les menaces aux revenus. Discuter et déterminer si une prévision de revenus est menacée par des problèmes de qualité, des conflits de travail, des pressions concurrentielles et d’autres facteurs est très similaire à une discussion sur les menaces qui doivent être considérées comme faisant partie d’un programme global de cybersécurité.
2. Qu’est-ce qui motive les menaces / attaquants?
Comprendre quelles menaces et quels attaquants votre entreprise doit gérer n’est qu’une partie de l’information que vos entreprises doivent demander.
Les conseils doivent également comprendre ce qui motive les différentes menaces. Par exemple, les cybercriminels de l’extérieur ont des motivations très différentes de celles des initiés malveillants tels que les employés mécontents. Les premiers sont motivés par des gains financiers et viseront des informations qu’ils peuvent facilement monétiser. Les initiés malveillants cibleront les informations qui promettent de causer le plus de dommages à l’entreprise lorsqu’elles seront rendues publiques. Les entreprises doivent comprendre pourquoi différentes menaces existent pour pouvoir commencer à comprendre quelles informations doivent être mieux sécurisées.
Lire ausi: Comment vContenu de la formation de vos employés sur la sécurité informatique
Encore une fois, le processus pour répondre à cette question est très similaire au processus que les entreprises utilisent déjà pour comprendre les menaces qui pèsent sur les ventes de produits. Par exemple, pendant ou avant un conflit de travail anticipé, le conseil d’administration va apprendre ce que la main-d’œuvre veut et pourquoi. En fait, répondre à cette question est très semblable à la négociation en ce sens que le conseil doit apprendre ce que l’autre veut, pourquoi il le veut et combien d’énergie il dépensera pour obtenir le résultat souhaité.
3.Quel est l’impact d’une attaque?
Les violations de données et les violations de la conformité à la vie privée ont des répercussions financières sur les entreprises sous forme d’amendes, de recours collectifs, de réputation et de perte d’avantage concurrentiel, pour n’en nommer que quelques-unes.
Malheureusement, il existe beaucoup de données réelles sur les coûts des violations de données qui peuvent aider les conseils à en arriver à un nombre réaliste et à comprendre les ramifications étendues. Les conseils d’administration des sociétés doivent comprendre les impacts résultant d’une variété de violations de données, y compris l’accès non autorisé accidentel, le vol partiel de données et le vol de données sur diférentes échelles.
4. Quelle est la probabilité d’une violation de données ou d’une violation de conformité?
Mesuré sur une période suffisamment longue, la probabilité d’une violation de données est de 100%. Bien qu’il soit important de comprendre ce fait, les entreprises doivent utiliser une période plus pratique qui s’harmonise avec les données que l’entreprise doit sécuriser. Par exemple, des informations sensibles sur les employés sont précieuses pour une période beaucoup plus longue qu’une annonce de revenus à venir.
Les cabinets de consultants en cybersécurité et les organismes de recherche produisent des analyses publiquement disponibles et sur mesure pour aider les entreprises à obtenir une évaluation impartiale de la probabilité que leur organisation subisse une violation de données.
5. Quel est notre niveau de risque?
Le rôle du conseil d’administration est aussi d’identifier et de gérer les risques. Le risque de cybersécurité est défini comme l’impact d’une violation de données multiplié par sa probabilité. Les conseils doivent définir les niveaux acceptables de risque de violation de données et de respect de la vie privée pour l’entreprise. Si le risque est inacceptable, l’entreprise prend des mesures pour réduire le risque à l’intérieur de la tolérance. La capacité du conseil à évaluer le risque dépend directement de sa capacité à comprendre les menaces, les données, les impacts et les probabilités discutés précédemment.
Les membres du conseil d’administration et les autres dirigeants devraient participer (au moins) à des exercices annuels simulant la gestion des crises après une violation de données. Il est important pour eux d’avoir une expérience simulée de la perturbation, des dépenses et du stress d’une violation de données afin qu’ils puissent mieux comprendre l’importance de la réduction des risques de cybersécurité.
6.Comment réduisons-nous les risques?
Pour réduire les risques, l’entreprise doit réduire l’impact et / ou la probabilité d’une violation de données. Pour les entreprises qui sont attaquées par des menaces persistantes «avancées» (et la plupart des violations sont le résultat de la persistance par opposition à la sophistication), il est extrêmement difficile de réduire de manière significative la probabilité de vol de données. Il est important que les entreprises comprennent que l’assurance de la cybersécurité ne réduit pas le risque, elle le compense simplement. À ce titre, l’assurance cybersécurité devrait être utilisée pour couvrir les risques qui ne peuvent être raisonnablement pris en charge par un programme de cybersécurité.
Une approche centrée sur les données
Les entreprises peuvent réduire l’impact d’une violation en rendant plus difficile de voler des informations utiles. Historiquement, les équipes chargées de la sécurité se sont efforcées de rendre les serveurs et les réseaux plus difficiles à compromettre. Cette approche continue d’échouer. Plus récemment, les efforts de cybersécurité se sont concentrés sur la détection d’un compromis. Ces efforts ont aidé dans une certaine mesure, mais ne rendent pas encore plus difficile pour un attaquant de voler des données.
Pour rendre les données plus difficiles à voler, les entreprises doivent les chiffrer, protéger ces données contre tout accès non autorisé et contrôler la façon dont les informations circulent. Bien sûr, tout cela doit être informé par une compréhension de l’endroit où réside l’information précieuse. Vous ne pouvez pas sécuriser ce que vous ne savez pas que vous avez ou ne pouvez pas trouver.
Un commentaire
Pingback: TECNO Phantom 8 : la fiche technique/les Caractéristiques - MONASTUCE