Priorisation des ressources dans une perspective de gestion du risque

Comme expliqué dans le nouveau Guide : Cybersécurité et gestion du risque (Guide to Cybersecurity as Risk Management) publié par CGI et le Governing Institute, trop souvent, les approches de planification de la cybersécurité axées sur la conformité n’évoluent pas au même rythme que les besoins de transformation des organisations des secteurs public et privé. Une solution plus efficace consiste en l’adoption d’une approche axée sur le risque, laquelle permet aux organisations de connaître leurs actifs essentiels et de comprendre les risques financiers, d’atteinte à la réputation ou de non-conformité auxquels sont exposés ces actifs.

Dans le secteur privé, les organisations adoptent le cadre de gestion de la cybersécurité du National Institute of Standards and Technology (NIST)* en raison de sa provenance (collaboration entre le NIST et les acteurs de l’industrie) et de son approche pragmatique de gestion du risque axée sur les activités commerciales. Ce cadre de gestion a été élaboré à l’intention des 16 secteurs d’infrastructure essentielle aux États-Unis*, mais des organisations plus diversifiées et de moindre envergure ont également trouvé avantageux de l’adopter.

Les entreprises commencent également à comprendre les risques associés à leurs relations avec des tiers et à évaluer le temps et les ressources nécessaires pour mettre en place un programme efficace de gestion du risque lié aux tiers. On parle alors de « chaîne de valeur de l’information », expression judicieuse puisqu’il est question d’examiner globalement, dans la mesure du possible, les risques associés au partage d’information entre les organisations.

De nos jours, l’information est fréquemment communiquée à plusieurs fournisseurs et prestataires de services (notamment pour l’impartition, l’hébergement et l’informatique en nuage) et les dirigeants d’entreprise sont souvent surpris de voir la liste complète des organisations qui accèdent aux renseignements de leur organisation, et qui les utilisent ou en assurent le soutien. Les diagrammes de flux des données ne présentent pas toujours l’historique complet des endroits où se trouve l’information. Un travail de recherche dans l’ensemble de la chaîne de valeur de l’information est probablement nécessaire au sein de la plupart des organisations des secteurs public et privé.

Nous présentons ci-dessous les principaux éléments à retenir au sujet de la gestion du cyberrisque. Ces recommandations sont issues du guide de CGI et du Governing Institute, qui a été conçu à l’intention des représentants élus, mais s’avère également pertinent pour de nombreux dirigeants d’entreprise.

Les programmes de cybersécurité ont connu une croissance exponentielle en raison de la complexité croissante des menaces pour les activités gouvernementales. Le financement est un défi constant, de sorte que la priorisation et le suivi continu des menaces s’avèrent des composantes importantes des programmes de cybersécurité.

En matière de gestion du risque, les initiatives de cybersécurité sont définies selon les exigences d’affaires. Les organisations doivent donc prendre en considération les risques financiers, de même que les coûts liés aux alertes, aux sanctions potentielles et aux amendes, ainsi que les répercussions découlant de la perte de renseignements opérationnels clés, les menaces juridiques, les risques d’atteintes à la réputation et la perte de confiance du public.

La cybersécurité axée sur la gestion du risque est un processus continu qui doit être réévalué régulièrement. Le processus devrait prendre en compte la rétroaction obtenue à des fins de modification et d’amélioration. Le modèle comprend généralement les éléments suivants.

1. L’évaluation des mesures de protection, des plans, des protocoles et des politiques en place
2. L’amélioration des mesures de protection, des plans, des protocoles et des politiques en place
3. Le développement d’un environnement qui permet de réagir et de s’adapter en fonction des menaces en évolution constante
4. Une réévaluation régulière

Les cadres de gestion traditionnels des gouvernements pour la prise de décisions et l’établissement de budgets permettent de détecter les menaces de sécurité, de les évaluer et de les prioriser. Il est ensuite possible d’affecter les ressources budgétaires en conséquence en vue de diminuer la probabilité d’une intrusion ou d’en minimiser les répercussions. Un processus de gestion axé sur le risque permettra de cerner les actifs les plus précieux d’une organisation et d’habiliter les professionnels en TI, les dirigeants d’organismes, les représentants élus et les responsables des finances à travailler ensemble pour déterminer les priorités et les stratégies de financement.

Selon un sondage réalisé auprès des chefs de la sécurité informatique des gouvernements d’État, mené par la NASCIO (association des chefs de la direction informatique d’État), un budget plus important a été accordé aux programmes de cybersécurité en 2014 comparativement à 2012. Cependant, en raison de ce que la NASCIO appelle l’effet de « cloisonnement entre le budget et la stratégie », le financement adéquat est toujours difficile à obtenir. L’intégration de la cybersécurité aux processus de gestion du risque peut aider les dirigeants à préparer une analyse de rentabilité de la cybersécurité au cours du processus budgétaire.

L’allocation d’une part des budgets aux initiatives de cybersécurité est un défi constant, et c’est pourquoi les organisations du secteur privé s’intéressent de plus en plus au cadre de gestion du NIST. Ses composantes permettent d’illustrer de quelles façons tirer parti de la gestion du risque en vue de définir les exigences à la fois technologiques et comportementales. Il classe des centaines de contrôles selon une approche pratique et efficace de gestion de la sécurité de l’information et de la protection de la vie privée selon des fonctions clés de définition, de protection, de détection, de réaction et de rétablissement.

Par le passé, les activités étaient principalement orientées sur le plan technologique de l’évaluation, de l’amélioration, du développement et de la réévaluation. Plus récemment, l’attention du secteur privé et du milieu universitaire s’est tournée vers « l’aspect humain » du cyberrisque et des activités de gestion du risque y étant associées. Bien que les menaces soient généralement de source externe, c’est souvent le comportement d’une personne à l’interne qui permet aux menaces de pénétrer une organisation. Toutes les organisations, publiques et privées, s’intéressent à l’approche « humain contre humain » pour gérer le risque lié à la sécurité de l’information. Les menaces internes, la non-conformité aux politiques, l’hameçonnage et le piratage psychologique qui ciblent des personnes sont donc considérés selon une perspective comportementale. Les organisations commencent à privilégier de nouveaux comportements de gestion du risque en intégrant des processus de sécurité et de protection de la vie privée à leur culture organisationnelle et en établissant des paramètres et des indicateurs de changement comportemental axés sur les personnes.

Ces différentes mesures peuvent être classées en activités axées sur les technologies ou sur les comportements afin de les prévoir au budget de toute organisation, et de permettre aux chefs de la sécurité informatique et aux chefs de la direction d’obtenir une vue d’ensemble de la cybersécurité et de coopérer lors du financement en vue de produire des résultats probants.

*en anglais