Top 5 des bénéfices des indicateurs de risque informatique

bénéfices des indicateurs de risque informatique
Les indicateurs de risque informatique, indispensables aujourd’hui.

Les indicateurs ne sont plus réservés aux commerciaux ni aux financiers. Aujourd’hui, ils sont nécessaires au secteur informatique pour évaluer le niveau de risque de cyber-attaque. Tout comme les indcateurs de performance, les indicateurs de risque informatique doivent être pertinents et compréhensibles par la direction car la sécurité informatique a un impact global sur l’activité de l’entreprise.

Top 5 des bénéfices que vous pourrez obtenir en mettant en place des indicateurs de risque informatique :

  • Connaître son niveau de risque informatique

Le nombre de cyber-attaques étant en hausse (+38% selon PWC), la majeure partie des organisations ont augmenté leur budget sécurité (+24% en 2015). Cette hausse des investissements dans des solutions de sécurité rassure les utilisateurs mais il est difficile de mesurer leur efficacité. En effet, il faut définir des métriques qui vont faciliter l’évaluation du risque. Dans cette optique, l’échelle de criticité s’avère être l’outil le plus efficace. De plus, il faut prendre en compte l’environnement informatique de l’entreprise dans son intégralité pour obtenir un niveau de risque pertinent. En ayant les informations triées par catégorie (système d’exploitation, site e-commerce, applications, base de données,…), les dirigeants pourront renforcer la sécurité des actifs les plus précieux. L’infrastructure informatique d’une entreprise doit être traitée dans sa globalité car toute attaque informatique aura des répercussions sur l’activité de l’entreprise (perte de clients, site internet non accessible, CRM compromis, procès, chômage technique, …)

  • Comprendre son niveau de risque

Peu de dirigeants s’avèrent avoir un profil technique. Il est donc impératif qu’ils puissent avoir des indicateurs de risques compréhensibles et pertinents. Les standards de conformité du marché vont aider les entreprises pour évaluer leur sécurité. On peut en mettre 3 en évidence : l’ANSSI, l’OWASP et PCI DSS.
L’autorité nationale en matière de sécurité et de défense des systèmes d’information a fait ses recommandations dans un guide d’hygiène et placent la protection de la donnée (Intégrité/Disponibilité/Confidentialité) comme élément clé du système d’indicateurs.
Le but de l’Open Web Application Security Project est de fournir une liste des dix problèmes de sécurité applicatifs Web les plus critiques.
La conformité à la norme Payment Card Industry Data Security Standard permet de vérifier que les points de contrôle sont bien mis en œuvre et qu’ils sont efficaces pour la protection des données de cartes bancaires. On peut également l’étendre à la protection des données dans sa globalité.
Pour chaque standard de sécurité, un indicateur numéraire doit être alloué. Ce dernier facilitera l’évaluation du niveau de risque pour juger de la conformité de l’entreprise.

  • Mesurer son retour sur investissement

D’après Ponemon Institute, une attaque informatique significative ferait perdre en moyenne à une entreprise 5,4% de ses clients. Ce genre d’attaque a 22% de chance de se produire dans les 24 prochains mois. La probabilité d’une cyber-attaque est encore plus accentuée si le niveau de risque de l’entreprise est élevé. Mettre en place des indicateurs est la première pierre pour construire un plan d’action. Ensuite, le suivi chronologique du niveau de risque va permettre de juger le retour sur investissement. Dans le cas du respect d’une conformité, les métriques sont nécessaires. D’une part, pour suivre son niveau de conformité qui tend à diminuer avec près de 28 nouvelles vulnérabilités découvertes en moyenne par jour, et d’autre part, justifier d’une politique de sécurité efficace pour garder la conformité.

  • Améliorer la communication entre le DSI / RSSI et le dirigeant

Le Directeur des Systèmes d’Information / Responsable de la Sécurité des Systèmes d’Information doit mettre en œuvre une politique de sécurité optimale. Ses actions sont parfois difficilement observables et la direction va rapidement perdre sa confiance lorsque l’entreprise subira une attaque. Afin d’améliorer la communication entre les deux parties, les indicateurs de risque vont apporter un suivi efficace des actions du DSI / RSSI. Il pourra justifier ses interventions en indiquant les actions effectuées et leur impact sur le niveau de sécurité de l’entreprise. Enfin, ces métriques vont être primordiales au DSI / RSSI pour justifier une augmentation du budget sécurité afin de respecter le plan d’action défini.

  • Faciliter le travail des techniciens

Il existe de nombreux outils pour détecter les vulnérabilités (scanners, pentest, …). Mais, une fois que les failles de sécurité ont été détectées, beaucoup se demandent : « par où commencer ? ». Il est donc nécessaire de se servir de métriques qui vont prioriser les interventions des équipes sécurité. Elles pourront intervenir en priorité sur les failles critiques puis observer l’évolution du niveau de risque en continu. Cette démarche s’inscrit dans la mise en place d’un plan d’action sécurité. L’impact immédiat est une diminution du risque réel encouru par le système d’information et donc les données qui y sont hébergées.

Pour en savoir plus sur les indicateurs de risque et comment manager la sécurité au quotidien, nous vous invitons à télécharger notre dernier livre blanc :
libre blanc indicateurs de risque

Leave a Reply