Élaborez une feuille de route résiliente pour la cybersécurité de votre entreprise

Une feuille de route pour la cybersécurité provient directement du processus de développement d’une stratégie annuelle pour le programme de cybersécurité. Ce processus de planification stratégique débute par la définition d’une vision pour la cybersécurité basée sur des facteurs concrets en lien avec l’activité, la technologie et l’environnement économique au sens large.

Une fois que les entreprises ont clarifié leur vision, elles doivent évaluer l’état actuel du programme et identifier les insuffisances qu’elles doivent combler pour concrétiser la vision (pour obtenir plus d’informations sur la planification stratégique en matière de cybersécurité, veuillez visiter la section Pratiques exemplaires pour la stratégie en matière de cybersécurité).

Pour obtenir une vue d’ensemble optimale de l’état actuel du programme, utilisez une association de différents types d’évaluation. Voici quelques exemples :

• Évaluations de l’efficacité des contrôles pour déterminer le niveau de maturité de la mise en œuvre des contrôles, en se référant à des entreprises similaires et en se conformant aux normes du secteur

• Évaluations de la vulnérabilité et tests de piratage pour évaluer l’infrastructure technique

• Évaluations des risques pour équilibrer l’investissement à travers des contrôles appropriés en fonction des risques réels

• Résultats d’audits récents

• Évaluations de la gestion du programme pour évaluer et référencer la maturité des politiques, processus et programmes en matière de cybersécurité

• Comparaisons des dépenses de cybersécurité et de la dotation en personnel par rapport à d’autres entreprises similaires

Récapitulez les résultats de l’évaluation dans un document « État actuel ». Ensuite, comparez l’état actuel par rapport à la définition de la vision pour identifier les divergences entre les deux. L’analyse des écarts entraîne typiquement l’élaboration d’une liste de projets et de mesures que le programme de cybersécurité pourrait entreprendre au cours de l’année à venir.

Certaines insuffisances entraîneront la mise en place de mesures spécifiques. Par exemple, l’absence de directives normalisées à l’intention des partenaires de l’informatique dématérialisée montre qu’il est nécessaire d’élaborer des politiques de cybersécurité adaptées à ce contexte.

Les insuffisances ne sont toutefois pas systématiquement associées à des mesures claires. Cela est particulièrement vrai pour les insuffisances liées à de multiples facteurs et interdépendances. Par exemple, un écart entre le niveau actuel de maturité dans la gouvernance de la sécurité et le niveau défini dans votre vision nécessite une analyse approfondie de résolution des problèmes pour élaborer un plan d’optimisation.

La figure adjacente représente un exemple d’aperçu de l’état actuel par rapport à l’état futur ainsi que l’identification des lacunes pour une entreprise dont la vision consiste à opter pour la gestion continue de l’exposition aux menaces (CTEM). Veuillez noter comment l’aperçu compare la vision souhaitée, ou l’état futur, avec l’état actuel, et identifie les moyens de combler les lacunes croissantes en matière de cybersécurité. Le plan de migration recommande, par ordre de priorité, les mesures que les RSSI devraient prendre pour adopter une approche moderne des problématiques de cybersécurité.

Peu d’entreprises disposent des ressources nécessaires pour mener à bien toutes les activités identifiées au cours d’une session de planification. Les responsables de la cybersécurité doivent plutôt définir des priorités à l’aide des critères suivants :

• le niveau de réduction des risques d’un projet ou d’une activité donné

• les ressources requises, comme les compétences, le personnel et les systèmes

• le coût financier

• le retour sur investissement ou la période entre le lancement du projet par l’entreprise et le moment où elle commence à en obtenir de la valeur

Votre feuille de route pour la cybersécurité doit être facile à lire, comprise par tous et accessible à tous ceux qui en ont besoin. Le rapport et la présentation de la feuille de route doivent aussi décrire clairement les états actuels et souhaités du programme de cybersécurité ainsi que la manière dont les projets prioritaires aideront à accomplir la vision. Ces facteurs augmentent les chances que la feuille de route atteigne son objectif de renforcement du soutien de la direction et d’harmonisation des stratégies de mise en œuvre pour les équipes cybersécurité.

Pour optimiser la communication et faciliter son utilisation, l’équipe chargée de la cybersécurité peut être amenée à élaborer des versions distinctes de la feuille de route pour différents publics. Le format et le contenu de la version pour la direction, par exemple, peuvent se concentrer sur les liens entre les éléments de la feuille de route et des objectifs commerciaux spécifiques. Le format et le contenu pour le personnel exécutif intermédiaire, en revanche, peut souligner les différentes étapes impliquées dans divers projets, ainsi que des collectes de données complémentaires ou des résolutions de problèmes qui doivent être réalisées dans le cadre d’un projet.

Une feuille de route pour la cybersécurité efficace est :

• Opportune : communiquer et mettre à jour la feuille de route à une fréquence adaptée aux besoins du public visé.

• Intuitive : rendre la feuille de route facilement compréhensible pour le public cible. Reformuler pour d’autres publics en changeant le point de vue ou les objectifs, tout en conservant les mêmes éléments de données.

• Concrète : veiller à ce que la feuille de route soit claire et puisse être utilisée immédiatement pour permettre sa mise en œuvre par les parties prenantes. Intégrer les bonnes informations pour les parties prenantes et faciliter leur consultation.

Les feuilles de route pour la cybersécurité types reflètent également la hiérarchisation des risques et les interdépendances éventuelles d’une initiative donnée par rapport à d’autres projets du portefeuille.