Une approche de contrôle des CyberRisques calquée sur un modèle de contrôle financier

Dans le cadre du lancement de la nouvelle version de notre outil et méthodologie Contrôle CyberRisques CISO-360, Eficio lance un dossier de la cybersécurité pour gestionnaires. À travers ces six articles, nous nous adressons aux gestionnaires soucieux des Cyberrisques et des impacts associés. Tel un rapport d’audit financier indépendant, une organisation devrait aussi obtenir une vue indépendante provenant d’un expert externe sur la posture de l’organisation face aux cyberrisques. Notre série d’articles explique les fonctions de la cybersécurité tout en faisant un parallèle innovant avec les contrôles financiers d’une organisation. 

Pierre Farley
Associé et CIO Eficio

L’information financière exacte et fiable est essentielle à la bonne gestion d’une organisation. Les contrôleurs financiers externes disposent d’outils permettant de valider l’exactitude et la conformité des états financiers afin qu’ils représentent une image financière fidèle de l’organisation. Selon le type de rapport de vérification, les vérificateurs comptables externes feront une évaluation neutre de l’état des lieux.  

Il y a un parallèle à établir entre une certification comptable et la gestion du CyberRisque. Dans les deux cas, l’utilisation d’une norme comptable ou l’utilisation d’une norme cybersécurité permet une standardisation dans l’interprétation des résultats, sans laisser ceci à la discrétion d’un contrôleur interne. Ces normes permettent de protéger les actionnaires et les créanciers. Tout comme les normes comptables, la gestion du CyberRisque possède ses propres normes (NIST, CIS, SOC, ISO27001).   De plus, l’application d’une telle norme de Cybersécurité offre un cadre permettant aux organisations de se standardiser aux bonnes pratiques sans se limiter à la connaissance informelle au sein de l’organisation.  

Tout comme une mission d’audit ou mission d’examen comptable, une vérification de CyberRisques externe ou certifiée, assure que la posture et les connaissances du risque soient connues auprès des exécutifs.  Ceci offre un bilan réel de l’organisation. Les actionnaires, les créanciers, les assureurs et surtout les clients, exercent de la pression pour la mise en œuvre d’une cyber hygiène. Entre autres, les clients d’une organisation adoptant eux-mêmes une gouvernance de sécurité, imposent l’équivalent à leurs fournisseurs.  Chez Eficio, c’est un phénomène que nous voyons fréquemment. 

Pour toutes ces raisons, les gestionnaires se concentrent inévitablement vers une gestion du CyberRisque et cherchent une solution leur permettant de connaître, et surtout comprendre les risques auxquels ils s’exposent. Ils veulent participer à l’évaluation du risque acceptable et à la prise de décision afin d’allouer les budgets en toute connaissance.

 

La cybersécurité s’avère complexe, technique et évolutive. Les exécutifs savent lire un rapport financier, mais pas nécessairement un rapport de cybersécurité. Eficio comprend ces enjeux et nous avons mis en place une méthodologie complète pour répondre et vulgariser cette complexité et aider la prise de décision. 

Depuis 2014, Eficio a livré de nombreux diagnostics TI (CIO 360)C’est basé sur cette grande expérience que nous avons adopté une approche spécifique au CyberRisque, le Contrôle CyberRisques CISO-360. Ce diagnostic de contrôle cyberRisque, favorise une approche neutre – agnostiquequi permet d’évaluer la posture de cybersécurité et apporter une mise à jour de l’évolution des risques. Les résultats visent deux audiences; l’équipe responsable de la cybersécurité et les exécutifs.  

Chez Eicio, nos projets Contrôle CyberRisques CISO-360 sont toujours réalisés par des exécutifs experts en sécurité de l’information. Un de nos chefs de la sécurité informatique (CISO-Chief Information Security Officer) saura vous présenter les résultats de manière claire et transparente. Notre approche va bien au-delà d’une simple validation tactique de votre programme de cybersécurité. Nous abordons la cybersécurité comme une gestion de risque en évaluant l’impact potentiel pour votre organisation. Nous proposerons des solutions autant tactiques que stratégiques vous donnant des pistes pour remédier à la situation en fonction du contexte de votre organisation.  

Nous vous présenterons donc ce dossier avec une série d’articles couvrant les cinq grandes fonctions de la cybersécurité. Pour chacune d’elles, nous aborderons le volet cybersécurité incluant la loi 25 sur la protection des renseignements personnels.  Les thèmes porteront sur : 

• Identifier 

• Protéger 

• Détecter  

• Répondre 

• Récupérer

Si vous désirez réagir à cet article ou obtenir plus d’information, n’hésitez pas à contacter Eficio.

L’ensemble des articles de notre dossier peuvent être lus via les liens suivants : 

La fonction « Identifier » de la cybersécurité 

La fonction « Protéger » de la cybersécurité 

La fonction « Détecter » de la cybersécurité 

La fonction « Répondre » de la cybersécurité 

La fonction « Récupérer » de la cybersécurité 

Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !