Stratégie de cybersécurité : misez sur la résilience et le contrôle des défaillances

Conciliez prévention, réactivité et récupération pour créer un dispositif de cybersécurité plus durable et plus efficace.

Téléchargez notre guide sur l’adoption d’une stratégie de cybersécurité renforcée

Apprenez à défendre durablement l’entreprise en faisant de la réponse et de la récupération après un sinistre un élément à part entière de votre prévention des risques.

En cliquant sur "Continuer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

Information de contact

Tous les champs sont obligatoires.

    Précédent

    En cliquant sur "Continuer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

    Informations sur l'entreprise/organisation

    Tous les champs sont obligatoires.

    Optional

    Précédent

    En cliquant sur "Envoyer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

    Élaborez une stratégie de cybersécurité qui réponde aux besoins du personnel autant qu’à ceux de la technologie.

    Les professionnels de la cybersécurité ne savent plus où donner de la tête : 62 % des responsables de la cybersécurité ont été victimes d’épuisement professionnel au cours de l’année qui vient de s’écouler. L'état d'esprit de « tolérance zéro » est en cause. 

    Faites évoluer votre stratégie vers une approche axée sur le renforcement de la cybersécurité, en équilibrant les mesures de prévention avec les mesures de réponse et de récupération, afin de garantir la durabilité de votre action. Téléchargez cette étude pour obtenir des conseils sur comment :

    • développer une entreprise capable de faire face aux défaillances

    • gérer le portefeuille de solutions technologiques utilisées dans le domaine de la cybersécurité

    • développer une main-d’œuvre résiliente face à la cybercriminalité

    Les meilleures pratiques lors de l’élaboration de votre stratégie de cybersécurité

    Mettez en œuvre un processus d’élaboration d’une stratégie de cybersécurité qui établisse des corrélations claires entre les objectifs de l’entreprise et les objectifs de sécurité, d’une part, et les projets et actions spécifiques, d’autre part.

    • Principes de base de la stratégie de cybersécurité

    • Vision de la cybersécurité

    • Évaluations de la cybersécurité

    • Adhésion au programme de cybersécurité

    La stratégie de cybersécurité définit une vision et la manière de la concrétiser

    Les responsables de la cybersécurité sont souvent tellement accaparés par les problématiques opérationnelles qu’ils ne prennent pas le temps de se consacrer à une planification stratégique efficace. Il s’agit pourtant là d’une erreur. 

    Une stratégie de cybersécurité concrète définit l’orientation à moyen et à long terme du programme. Elle décrit comment le service de sécurité viendra soutenir et rendre possible la stratégie de l’entreprise et son parcours digital. Elle aide également l’entreprise à budgétiser et à documenter la justification des décisions stratégiques et de l’allocation des ressources.

    Les éléments constitutifs d’une stratégie de cybersécurité sont similaires à ceux des processus de planification stratégique. Vous devez :

    • formuler la vision stratégique et les motivations de l’entreprise.

    • définir l’état actuel des mesures de cybersécurité dans l’entreprise, sur la base d’évaluations de la maturité, d’évaluations de la vulnérabilité, d’évaluations des risques, de résultats d’audits et de tests de piratage.

    • Préparer une feuille de route par ordre de priorité qui lie clairement les projets et les mesures correctives aux risques, aux vulnérabilités et aux facteurs commerciaux, technologiques et environnementaux pertinents.

    En disposant d’une vision, d’un bilan de la situation et d’une feuille de route dûment étayés, les responsables de la cybersécurité peuvent communiquer plus clairement avec les chefs d’entreprise. Un comité exécutif chargé de la sécurité de l’entreprise devrait également examiner, discuter et approuver la politique de sécurité de manière collaborative avant de la documenter, de la diffuser et de la communiquer officiellement à l’ensemble de l’entreprise.

    Définir une vision basée sur des facteurs commerciaux, technologiques et environnementaux

    L’un des éléments les plus importants d’une stratégie de cybersécurité est la vision, qui explique les objectifs du programme de cybersécurité en des termes que les dirigeants d’entreprise peuvent comprendre et appuyer. La vision stratégique définit l’état souhaité que la stratégie de cybersécurité vise à atteindre au cours de la période de planification.

    La plupart des entreprises se basent sur des normes internationales, telles que la structure de cybersécurité (CSF) du National Institute of Standards and Technology (NIST) ou la norme ISO 27001.

    Mais ne vous arrêtez pas aux simples critères de la norme. Incorporez les facteurs commerciaux, technologiques et environnementaux pertinents propres à votre entreprise. Voici quelques exemples de facteurs :

    Facteurs commerciaux :

    • Programmes de réduction des coûts

    • Diversification des produits

    • Expansion géographique

    • Fusions et acquisitions ou cessions

    Facteurs technologiques :

    • Stratégie de digitalisation

    • Consolidation des centres de données

    • Adoption du cloud

    Facteurs environnementaux :

    • Ralentissements économiques et récessions ou conditions propices à la croissance

    • Conflits sociopolitiques

    • Tensions géopolitiques, y compris les guerres commerciales

    • Évolution imminente de la réglementation

    Incluez dans la vision les objectifs spécifiques de cybersécurité que vous souhaitez atteindre au cours de la période de planification. Ces objectifs doivent comprendre :

    • un niveau de maturité global pour le programme, et des niveaux de maturité cibles pour des processus et fonctions spécifiques.

    • Un niveau d’exposition au risque accepté dans le cadre d’un consensus sur la propension au risque fixé par la direction générale (inclure la propension au risque définie dans la documentation relative à la vision).

    • Nouvelles capacités et architectures pour faire face aux menaces émergentes ou aux technologies de rupture

    • Un soutien à la stratégie de croissance de l’entreprise, par exemple, une structure de cybersécurité pour intégrer les entreprises acquises dans le programme de sécurité de l’entreprise.

    Ces objectifs doivent être diffusés et approuvés par les principales parties prenantes, généralement au début du processus de planification de la cybersécurité et de la stratégie, ainsi que lorsque les dirigeants approuvent la feuille de route proposée pour les projets prioritaires. Pour cette étape, collaborez avec le comité exécutif chargé de la sécurité au sein de l’entreprise.

    Vous pouvez également inclure un ensemble de principes directeurs dans la vision de la stratégie de cybersécurité pour établir des lignes de conduite au cours du processus de planification. Parmi les exemples de ces principes, on peut citer :

    • Les responsables de l’information sont chargés de protéger l’information et les ressources documentaires. Dans le cas d’informations et de ressources partagées, le directeur des systèmes d’information (DSI) est le responsable par procuration.

    • La propension au risque de l’entreprise oriente toutes les décisions en matière de sécurité et tous les contrôles de sécurité seront proportionnels au risque associé.

    • Le programme de cybersécurité doit documenter les politiques, les normes, les lignes directrices et les procédures qui communiquent les exigences de sécurité et guident la sélection et la mise en œuvre des mesures de contrôle de la sécurité.

    Évaluez l’état actuel des mesures de cybersécurité et déterminez les lacunes à combler en priorité

    Une fois que vous aurez défini la vision de votre stratégie de cybersécurité, vous voudrez identifier les insuffisances entre cette vision et la réalité.

    Utilisez différents types d’évaluation pour déterminer l’état actuel de vos mesures. Comparez les résultats à l’énoncé de la vision dans le cadre d’une analyse des insuffisances. Chaque différence représente une action ou une mesure potentielle que vous pouvez mettre en œuvre pour concrétiser la vision.

    Peu d’entreprises disposent des ressources nécessaires pour combler toutes les lacunes identifiées au cours d’une période de planification. Fixez des priorités en fonction du niveau de risque, des ressources nécessaires et du délai de réalisation de chacune d’entre elles. Incluez dans la période de planification des projets à plus long terme et à plus court terme. La feuille de route de la stratégie de cybersécurité sera établie sur la base de ces priorités et des délais nécessaires à leur mise en œuvre.

    Obtenez l’adhésion des dirigeants en ce qui concerne la vision ainsi que les différents objectifs prioritaires

    Une fois la vision et les priorités établies, les responsables de la cybersécurité doivent maintenant communiquer la stratégie afin d’obtenir l’adhésion des parties prenantes de la direction.

    Cette communication comprendra généralement un rapport écrit et une présentation à la direction, qui décriront l’état actuel et l’état souhaité, ainsi que la manière dont les priorités contribueront à combler ces différences. La présentation doit mettre l’accent sur la contribution des projets à la valeur commerciale ajoutée. Expliquez clairement comment la stratégie de cybersécurité est en phase avec la stratégie commerciale.

    Même après avoir obtenu l’approbation pour cette stratégie, il est essentiel d’établir une cadence trimestrielle de rapports et de communication sur les avancées et les difficultés rencontrées. Soyez clair sur les points suivants :

    • les avantages escomptés qui ont été entièrement ou partiellement réalisés et ceux pour lesquels il n’y a pas eu de résultats suffisants

    • les avantages et les obstacles inattendus qui se sont manifestés

    • les projets qui ne sont pas concluants

    • les éléments déclencheurs des mesures de sécurité ou des défis qui pourraient nécessiter une modification de la stratégie ou des politiques de cybersécurité

    Organisez des examens trimestriels et des ateliers de planification de scénarios afin de déterminer quels sont les facteurs qui ont éventuellement été modifiés et qui pourraient entraîner des adaptations de la stratégie actuelle. Ce processus d’examen devrait également permettre d’identifier les principaux indicateurs de tendances ou d’événements externes de grande ampleur qui exigeront des modifications majeures de la stratégie et de la feuille de route en matière de sécurité.

    FAQ sur la stratégie de cybersécurité

    Une stratégie de cybersécurité est un plan global conçu pour protéger les systèmes d’information, les données et les réseaux d’une entreprise contre les cybermenaces. Elle concorde avec les objectifs commerciaux généraux et garantit que celle-ci peut efficacement maîtriser et atténuer les risques liés aux cyberattaques.

    La planification de la stratégie de cybersécurité doit établir des relations claires entre les forces motrices de l’entreprise, les objectifs, les lacunes et les projets et actions spécifiques. Le processus de planification stratégique doit :

    • saisir le contexte de l’entreprise, qui comprend les facteurs commerciaux, technologiques et environnementaux

    • définir la vision stratégique et les principes directeurs

    • évaluer l’état actuel des mesures de sécurité et des menaces qui pèsent sur l’entreprise

    • effectuer une analyse des lacunes

    • hiérarchiser les mesures proposées

    • obtenir l’approbation de la direction et le budget nécessaire

    Une stratégie de cybersécurité robuste influe considérablement sur les informations sur les menaces en améliorant la capacité d’une entreprise à détecter, analyser et répondre aux cybermenaces de manière efficace.

    Favorisez la concrétisation de
    vos priorités stratégiques décisives.