Notre plan d’intervention et diagnostic Contrôle CyberRisques CISO-360 couvre une série de contrôles permettant aux organisations de toutes tailles, peu importe leur budget TI, d’avoir une image claire et neutre de leur posture de sécurité. Cela leur permettra de prioriser leurs interventions et budgets selon les risques acceptables pour l’organisation.
Savez-vous qu’il est possible de regrouper les contrôles de cybersécurité sous différents thèmes ou familles de contrôles? Les cinq fonctions du NIST (identifier, protéger, détecter, répondre, récupérer) représentent un excellent moyen de catégoriser les thématiques de manière logique et compréhensible. Dans le cadre de notre dossier cybersécurité pour gestionnaires, nous abordons pour ce deuxième article la fonction « Identifier ».
Pour mettre en place un programme de cybersécurité efficace, il faut d’abord savoir ce que nous avons à protéger! Voilà l’essence même de la fonction « Identifier ». La compréhension des actifs informationnels de votre organisation est la pierre angulaire de votre programme de cybersécurité. Au-delà de connaître les actifs à protéger, il est essentiel de connaître leur impact sur votre organisation : où sont vos données sensibles et renseignements personnels et quelle est leur valeur pour votre organisation? Ceci permettra de prioriser les efforts, autant financiers qu’humains, sur la stratégie à mettre en place. En hiérarchisant les efforts, on s’assurera de mettre l’énergie là où ça compte. On pourra également développer un plan de réponse et relève qui sera orienté sur le niveau de risques acceptables pour l’organisation.
Dans le cadre du premier article « Une approche de contrôle des CyberRisques calquée sur un modèle de contrôle financier », je faisais référence aux similitudes entre un contrôle financier et un contrôle CyberRisques. Prenons par exemple une charte de compte qui sert à la compréhension des données financières et qui facilite l’analyse selon un regroupement d’actif/passif qui doit être mesurable. Ces éléments de votre charte seront des indicateurs de gestion tout au long de vos opérations. Dans un contexte de cybersécurité, la fonction « Identifier » est l’équivalent qui permettra de connaître ce que l’on doit surveiller et ce qui est important pour votre organisation.
Quels sont les éléments clés de cette fonction?
• Gestion des actifs – Connaître l’ensemble des actifs ,tels que; centre de données, environnement infonuagique, les serveurs, équipements réseau, ordinateurs, données qui sont essentiels pour vos opérations;
• Environnement commercial – Quels sont les cas d’utilisation opérationnels pour exécuter votre mission et qui sont les parties prenantes?
• Gouvernance – Identifier l’ensemble des politiques et procédures pour gérer vos risques selon les aspects règlementaires, environnementaux, opérationnels et juridiques;
• Évaluation des risques – Évaluer les risques opérationnels et les impacts pour votre organisation en cas de non-disponibilité des systèmes. Catégoriser les actifs selon la criticité;
• Stratégie de gestion des risques –Politiques et méthode pour déterminer les risques, les évaluer et déterminer votre tolérance.
Un programme de cybersécurité se doit d’être dynamique. La fonction « Identifier » doit être évolutive et s’adapter selon les changements de votre organisation. Il faut rester constamment vigilant et mettre à jour cette fonction primaire de votre programme de cybersécurité. Par exemple, en termes de renseignements personnels et en respect de la nouvelle loi 25 sur la protection des renseignements personnels, il est important de connaître d’où viennent les données, leurs cycles de vie et à quels endroits ces données sont entreposées. L’introduction de nouveaux cas d’affaires peut changer le cycle de vie d’une donnée et alors la cartographie de données doit être mise à jour pour demeurer conforme à la loi.
Nous observons fréquemment dans nos interventions en clientèle que les organisations vont privilégier les tests de pénétration avant la mise en place d’un programme cohérent de cybersécurité. En effet, l’analyse de l’inventaire, l’identification des risques, et une priorisation selon la criticité organisationnelle permettront de mieux définir les efforts.
Nous recommandons la définition d’un programme adapté à votre organisation dans chacune des cinq fonctions de la cybersécurité. Essentiellement, le plus gros risque auquel font face les organisations est de ne pas maitriser ce qui doit être protégé!
Nos ressources exécutives en gestion des technologies de l’information et du Cyberrisque possèdent toutes les expertises pour vous aider à mieux comprendre votre posture actuelle en cybersécurité. De plus, ils vous guideront sur des recommandations adaptées à votre organisation.
Si vous désirez réagir à cet article ou obtenir plus d’information, n’hésitez pas à contacter Eficio .
L‘ensemble des articles de notre dossier peuvent être lus via les liens suivants :
Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !