Le Risque de Mesurer le Risque
La mesure automatisée de l’efficacité des contrôles est une très bonne idée conceptuellement. Lorsque vous pouvez combiner les lacunes de contrôle avec des informations de menace pertinentes, vous obtenez une très bonne vision des risques cybernétiques techniques réels auxquels votre entreprise est confrontée. Si elle est correctement réalisée, elle vous donne une vue d’ensemble de ce qui se passe dans votre organisation.
Malheureusement, les organisations ne peuvent pas affirmer avec confiance que leurs contrôles sont réellement déployés partout où on s’y attend. Comme vous le savez, l’espoir n’est pas une stratégie. Dans de nombreuses organisations, les inventaires d’actifs et de services (ainsi que les API) ne sont ni complets ni à jour. Les inventaires utiles nécessitent une triangulation et une conciliation continues entre différentes sources de données pour garantir que les organisations disposent d’une efficacité de contrôle précise et complète.
La voie vers la réduction des risques : Mesurer la couverture des contrôles de sécurité
C’est pourquoi mesurer les risques et se fier uniquement à leurs résultats n’a de sens que si vous avez une bonne compréhension de la couverture de vos contrôles de sécurité. Sinon, vous prenez des décisions basées sur des informations de risque erronées. La métrique de couverture des contrôles de sécurité vous permet de voir à quel point vos contrôles ont été déployés dans votre environnement. Cette visibilité est essentielle à la réussite de votre programme global de mesure des risques cybernétiques.
La seule façon d’avoir une véritable confiance dans votre programme de sécurité global est de mesurer non seulement l’efficacité opérationnelle de vos contrôles, mais aussi de mesurer la couverture de vos contrôles. En tant que professionnel de la sécurité, je veux et j’ai besoin de savoir où se trouvent mes lacunes. Ce sont les choses que vous ne connaissez pas qui vous causent des problèmes.
Les compromis se produisent généralement en l’absence d’un contrôle, ou lorsque qu’un contrôle a échoué. Nous vivons tous dans un monde très dynamique et la transformation numérique en cours continue de perturber le statu quo. Ces changements peuvent également perturber vos contrôles ; certains peuvent ne pas être déployés, certains peuvent être supprimés, ou certains peuvent échouer. Chaque organisation de sécurité doit être en mesure de capturer ces déficiences le plus rapidement possible.
“En tant que professionnel de la sécurité, je veux et j’ai besoin de savoir où se trouvent mes lacunes. Ce sont les choses que vous ne connaissez pas qui vous causent des problèmes.”
Un examen approfondi de la couverture des contrôles peut apporter encore plus de valeur. La couverture des contrôles est un point de données essentiel dans la quantification des risques. Des méthodologies telles que FAIR (Analyse factuelle des risques d’information) et CyberVaR (Cyber Value at Risk) permettent aux organisations de quantifier les risques.
CyberVaR, en particulier, est très axé sur les données. Il examine une grande variété d’aspects de la sécurité, des risques et des contrôles, y compris le paysage des menaces externes, les événements internes, les scénarios de menace, la capacité de sécurité, la couverture des contrôles de sécurité et votre posture de sécurité globale. Il rassemble tous ces éléments pour vous donner une vue d’ensemble des risques résiduels qui peuvent ensuite être quantifiés dans une valeur significative pour l’entreprise.
Afin de garantir un niveau élevé de confiance dans votre situation globale de sécurité, vous devez savoir :
- que vos contrôles fonctionnent efficacement,
- que vous bénéficiez d’une couverture à 100 %, définie par vos politiques.
Vous devez comprendre où se situent vos lacunes en termes de contrôles afin de les corriger et de les remédier. Si vous ne savez pas où se trouvent ces lacunes, c’est là où les compromis sont les plus susceptibles de se produire.
Votre clé du succès : l’automatisation
Le chemin vers le succès réside dans l’automatisation. Lorsqu’un processus est automatisé, vous obtenez des résultats précis à chaque fois. Vous n’avez pas à remettre en question les données ou la validité des résultats.
L’automatisation vous permet également de réduire vos coûts opérationnels. Que cela vous plaise ou non, chaque fonction de sécurité doit trouver des moyens de réduire ses coûts opérationnels et maximiser sa productivité. Lorsque vous automatisez les processus autour de vos métriques de couverture des contrôles, ainsi que de toutes vos mesures de sécurité, vous réduisez vos coûts d’exploitation et vous pouvez vous développer plus rapidement.
Les études comparatives de l’industrie montrent que les équipes de sécurité passent souvent 36% de leur temps à faire des rapports. Automatiser ce processus permet aux professionnels de la sécurité de se concentrer davantage sur la sécurité plutôt que sur la production de rapports.
“Lorsque vous automatisez les processus liés non seulement à vos mesures de couverture des contrôles, mais également à toutes vos mesures de sécurité, vous réduisez vos coûts d’exploitation et vous vous développez plus rapidement.”
Si l’automatisation n’est pas une option, vous serez condamné à créer manuellement des mesures de couverture des contrôles de qualité. Vous devrez accéder à chaque outil individuellement, compiler toutes les données, puis nettoyer, regrouper, normaliser, dédupliquer et corréler toutes ces données disparates. Et d’ici là, lorsque vous serez prêt à utiliser les données, elles pourraient déjà être obsolètes. En conséquence, des questions se poseront quant à l’intégrité des données, et les discussions sur la réduction des risques se dégraderont.
N’oubliez pas de communiquer vos contrôles
Il existe de nombreux acteurs au sein d’une organisation qui ont besoin de voir vos métriques de sécurité, jusqu’au niveau du conseil d’administration. Cela s’applique en particulier à la couverture de vos contrôles.
Le public principal est constitué des propriétaires des contrôles, qu’ils se trouvent au sein de la fonction sécurité, de l’équipe infrastructure, du développement d’applications ou du personnel de première ligne. Il est important que le propriétaire du contrôle comprenne la couverture des contrôles ainsi que leur performance, afin de pouvoir remédier à d’éventuelles lacunes ou expositions. Cela est particulièrement important pour l’équipe de première ligne, car elle est responsable de la gestion des risques et doit prendre des mesures pour combler les éventuelles lacunes.
D’autres audiences concernées sont les personnes travaillant dans la conformité, l’audit et la conformité réglementaire.
Les fonctions de réglementation sont essentielles pour assurer la conformité aux politiques et aux réglementations. Les parties prenantes impliquées dans ces fonctions doivent pouvoir se fier aux données de contrôle afin de prendre des décisions éclairées, mesurer la conformité aux politiques et identifier les éventuels écarts ou risques au sein de cet environnement. Grâce à des données complètes et précises, ces personnes peuvent engager des conversations axées sur les risques et prendre les mesures nécessaires.
Pour conclure, un thème commun émerge ici : la confiance dans les données. Lorsque nous utilisons tous le même ensemble de données, nous comprenons d’où elles proviennent et comment elles ont été dérivées, et nous avons une grande confiance dans leur exactitude car elles ont été automatisées. Lorsque tout le monde utilise le même ensemble de données et lui fait confiance, les discussions se concentrent sur les risques, les compromis et les priorités appropriés, plutôt que sur l’exactitude des rapports.
Ressources supplémentaires