Meilleures pratiques pour établir une stratégie de sécurité de l’information

Adoptez les meilleures pratiques pour établir et améliorer votre programme de sécurité en vous appuyant sur une planification stratégique efficace.

Faites de la cybersécurité un facteur clé de réussite pour l’entreprise

RSSI : téléchargez votre exemplaire dès maintenant pour obtenir des conseils qui vous permettront de communiquer plus efficacement avec les dirigeants.

En cliquant sur "Continuer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

Information de contact

Tous les champs sont obligatoires.

    Précédent

    En cliquant sur "Continuer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

    Informations sur l'entreprise/organisation

    Tous les champs sont obligatoires.

    Optional

    Précédent

    En cliquant sur "Envoyer", vous acceptez les conditions d'utilisation et la politique de confidentialité de Gartner.

    Repenser le raisonnement sur la cybersécurité en cessant d’être axé sur la défense

    Si vous souhaitez disposer d’un budget à caractère stratégique, vous devez impérativement résoudre un problème qui relève du domaine de la stratégie. Dans le contexte de la cybersécurité, cela signifie qu’il faut cesser de parler de défense tactique contre les menaces pour évoquer la possibilité d’obtenir des résultats opérationnels stratégiques. Cette étude vous présente la marche à suivre pour :

    • expliquer les conséquences de la cybercriminalité au regard des risques encourus.
    • Décrire les capacités opérationnelles stratégiques, les conséquences éventuelles de la cybercriminalité et la manière dont vous pouvez organiser vos ressources pour les atténuer.
    • Fixer les priorités et financer les investissements.

    Pour une cybersécurité efficace, élaborer un programme complet et justifiable.

    De trop nombreuses équipes chargées de la sécurité de l’information acquièrent des technologies sans définir les responsabilités et les objectifs. Pour en renforcer la portée, élaborez un programme de sécurité de l’information complet conçu pour faire face aux risques liés aux activités digitales.
    • Le rôle de la stratégie
    • Comment et pourquoi élaborer une stratégie
    • Définir la vision
    • État actuel et lacunes
    • Établir des priorités et communiquer

    La stratégie de sécurité de l’information est l’une des composantes d’un programme qu’il est possible de justifier auprès des parties prenantes

    Une cybersécurité efficace, que l’on désigne ici également par le terme de sécurité de l’information, suppose un programme de sécurité complet et justifiable qui garantit un équilibre entre protection et gestion des activités de l’entreprise. Ce programme comprend cinq éléments clés :

    1. Une charte sur la sécurité de l’information de l’entreprise : mandat exécutif

      Ce document de synthèse, rédigé dans un style clair et accessible, établit clairement les obligations du responsable de la protection des ressources documentaires et confie au Responsable de la sécurité des systèmes d’information (RSSI) (ou équivalent) la tâche d’établir et de maintenir le programme de sécurité.

      Ce document doit être lu, compris, signé, avalisé de manière manifeste et être approuvé à nouveau chaque année par le PDG et le conseil d’administration de l’entreprise.

    2. Termes de référence : modèle de référence

      Un aspect essentiel d’un programme justifiable réside dans la capacité à démontrer que l’entreprise est en conformité avec les pratiques et les normes acceptées. Pour ce qui est du programme de sécurité, cela signifie qu’il faut utiliser un ou plusieurs modèles de référence taxonomiques, basés sur des normes industrielles reconnues (telles que la structure de cybersécurité [CSF] du NIST, ISO/IEC 27001/2 ou les contrôles CIS [anciennement connus sous l’appellation Contrôles de sécurité critiques ou Critical Security Controls]), pour guider les décisions stratégiques et tactiques.

    3. Structures de gouvernance : responsabilité

      De nombreuses réglementations exigent des entreprises qu’elles se dotent d’un RSSI jouissant d’une indépendance vis-à-vis des détenteurs des ressources d’information et des responsables des contrôles. Un RSSI virtuel peut être un compromis acceptable dans certaines situations. Les fonctions du RSSI doivent idéalement être rattachées à un autre bureau que celui du DSI afin d’éviter certains conflits d’intérêts.

      En ce qui concerne la prise de décision, un comité exécutif chargé de la sécurité de l’entreprise peut se révéler efficace pour discuter les défis en matière de sécurité, des politiques proposées et des plans d’investissement. Ce comité devrait comprendre des représentants des unités opérationnelles détentrices des informations et des services du personnel (informatique, juridique, RH et bureau de la protection de la vie privée). Il convient également de définir des structures et des processus d’élaboration de rapports à l’intention de la direction.

    4. Stratégie : vision, mission et feuille de route

      Pour obtenir le soutien de l’entreprise au programme de sécurité, il vous faudra une vision claire qui en explique les composantes et les objectifs, et qui précise en quoi ils sont liés aux objectifs commerciaux. Cette vision doit se conformer à des pratiques et à des normes éprouvées et s’appuyer sur des évaluations de l’état actuel de l’entreprise, ainsi que sur des analyses comparatives du niveau des dépenses, du nombre d’employés, de la maturité du programme ou des niveaux de conformité avec les normes généralement acceptées. Pour plus de détails, reportez-vous aux onglets «∘Vision∘», «∘État actuel∘» et «∘Établissement des priorités∘».

    1. Procédures de sécurité : exécution

      Le programme de sécurité doit être conçu pour anticiper et réagir aux évolutions fréquentes et inattendues des environnements commerciaux, technologiques et opérationnels. Il doit également permettre une amélioration continue de l’efficacité et de l’efficience des contrôles de sécurité.

      Pour pouvoir s’améliorer en permanence tout en réagissant aux changements, le programme de sécurité de l’information doit se mettre en adéquation avec un ensemble de principes qui guident la mise en œuvre et les opérations de sécurité au quotidien :

      • La prise de décisions relatives à la surveillance est basée sur le risque spécifique et la propension au risque, plutôt que sur le respect de certaines clauses de conformité

      • Contribuer aux résultats opérationnels plutôt que de protéger uniquement l’infrastructure

      • Toujours prendre en compte le facteur humain lors de la conception et de la gestion des contrôles de sécurité

    La stratégie relative à la sécurité de l’information définit la vision et la manière de la mettre en œuvre

    Une stratégie relative à la sécurité de l’information définit l’orientation de à moyen et à long terme du programme de cybersécurité. Elle décrit comment le service de sécurité viendra soutenir et rendre possible la stratégie de l’entreprise et son parcours digital. Elle aide également l’entreprise à budgétiser et à documenter la justification des décisions stratégiques et de l’allocation des ressources.

    Les responsables de la cybersécurité sont souvent tellement accaparés par les problématiques opérationnelles qu’ils ne prennent pas le temps de se consacrer à une planification stratégique efficace. Pourtant, la stratégie est un élément clé d’un programme efficace de sécurité de l’information. Les composantes de base sont comparables à celles de tout autre processus de planification stratégique, y compris les meilleures pratiques propres à une discipline telle que la sécurité, à savoir :

    • Formuler la vision stratégique et les motivations de l’entreprise.

    • Définir l’état actuel de la sécurité de l’information dans l’entreprise, sur la base d’évaluations de la maturité, d’évaluations de la vulnérabilité, d’évaluations des risques, de résultats d’audits et de tests de piratage pour apporter différentes perspectives.

    • Préparer une feuille de route par ordre de priorité qui lie clairement les projets et les mesures correctives aux risques, aux vulnérabilités et aux facteurs commerciaux, technologiques et environnementaux pertinents.

    Une fois que les responsables de la sécurité ont documenté la stratégie, y compris les politiques et les normes des pratiques, ils doivent la communiquer aux chefs d’entreprise qui devront s’y conformer.

    Enfin, le comité exécutif chargé de la sécurité de l’entreprise doit examiner, discuter et approuver la politique de sécurité de manière collaborative avant de la documenter, de la diffuser et de la communiquer officiellement par le biais du programme de sensibilisation à la sécurité, des sessions de formation annuelles et des attestations.

    Définir une vision stratégique ou un état souhaité pour le programme de sécurité

    Comme nous l’avons vu, la vision, la mission et la feuille de route de la sécurité de l’information expliquent les objectifs du programme et de ses composantes en des termes que les dirigeants d’entreprise peuvent comprendre et cautionner. La vision stratégique définit l’état souhaité que la stratégie de sécurité de l’information vise à atteindre au cours de la période de planification.

    Comme nous l’avons mentionné, la plupart des entreprises se basent sur des normes internationales, telles que la structure de cybersécurité (CSF) du National Institute of Standards and Technology (NIST) ou la norme ISO 27001. Cependant, vous ne devez pas vous limiter aux seuls critères de ces normes. Au lieu de cela, incorporez des facteurs commerciaux, technologiques et environnementaux pertinents propres à votre entreprise pour faire concorder votre vision avec les buts et objectifs commerciaux. Voici quelques exemples de facteurs :

    Facteurs commerciaux :

    • Programmes de réduction des coûts
    • Diversification des produits
    • Expansion géographique
    • Fusions et acquisitions ou cessions

    Facteurs technologiques :

    • Stratégie de digitalisation
    • Consolidation des centres de données
    • Adoption du cloud

    Facteurs environnementaux :

    • Ralentissements économiques et récessions ou conditions propices à la croissance
    • Conflits sociopolitiques
    • Tensions géopolitiques, y compris les guerres commerciales
    • Évolution imminente de la réglementation

    Incluez dans la vision les objectifs spécifiques de sécurité de l’information que vous souhaitez atteindre au cours de la période de planification. Ces objectifs doivent comprendre :

    • un niveau de maturité global pour le programme, et des niveaux de maturité cibles pour des processus et fonctions spécifiques.

    • Un niveau d’exposition au risque accepté dans le cadre d’un consensus sur la propension au risque fixé par la direction générale (inclure la propension au risque définie dans la documentation relative à la vision).

    • Nouvelles capacités et architectures pour faire face aux menaces émergentes ou aux technologies de rupture

    • Un soutien à la stratégie de croissance de l’entreprise, par exemple, une structure de sécurité de l’information pour intégrer les entreprises acquises dans le programme de sécurité de l’entreprise

    Ces objectifs doivent être diffusés et approuvés par les principales parties prenantes, généralement au début du processus de planification stratégique et lors de l’approbation de la feuille de route proposée pour l’exécution de la stratégie. Pour cette étape, vous pouvez vous appuyer sur le comité exécutif chargé de la sécurité de l’entreprise.

    Vous pouvez également inclure un ensemble de principes directeurs dans la vision de la stratégie de cybersécurité pour établir des lignes de conduite au cours du processus de planification. Parmi les exemples de ces principes, on peut citer :

    • La responsabilité de la protection des informations et des ressources documentaires incombe aux détenteurs des informations. Dans le cas d’informations et de ressources partagées, le directeur des systèmes d’information (DSI) est le responsable par procuration.

    • La propension au risque de l’entreprise oriente toutes les décisions en matière de sécurité et tous les contrôles de sécurité seront proportionnels au risque associé.

    • Les politiques, normes, lignes directrices et procédures en matière de sécurité de l’information sont élaborées pour communiquer les exigences de sécurité et guider la sélection et la mise en œuvre des mesures de contrôle de la sécurité.

    Évaluez l’état actuel du programme de sécurité de l’information et identifiez les insuffisances en termes de capacité

    Une fois que vous avez défini la vision du programme de sécurité de l’information, évaluez l’état actuel du programme et identifiez les lacunes qui doivent être comblées pour concrétiser cette vision.

    Utilisez différentes méthodes d’évaluation pour déterminer l’état actuel du programme. Voici quelques exemples :

    • Évaluations de la vulnérabilité et tests de piratage pour évaluer l’infrastructure technique

    • Évaluations des risques pour équilibrer l’investissement à travers des contrôles appropriés en fonction des risques réels

    • Résultats d’audits récents

    • Évaluations de l’efficacité des contrôles pour déterminer le niveau de maturité de la mise en œuvre des contrôles, en se référant à des entreprises similaires et en se conformant aux normes du secteur

    • Évaluations de la gestion du programme pour évaluer et référencer la maturité des politiques, processus et programmes en matière de cybersécurité
    • Comparaisons des dépenses de cybersécurité et de la dotation en personnel par rapport à d’autres entreprises similaires

    Résumez les résultats de l’évaluation dans un document «∘état actuel∘» qui est joint aux documents de planification stratégique.

    Effectuer une analyse des lacunes

    Comparez l’état actuel à l’énoncé de la vision, aux objectifs et aux facteurs clés afin d’identifier les écarts entre l’état actuel et l’état souhaité. Certains écarts indiquent clairement la nécessité de mener des actions spécifiques, par exemple, la nécessité d’élaborer des politiques de cybersécurité spécifiques au cloud computing public. La bonne réponse n’est pas toujours évidente pour les écarts qui comportent de multiples facteurs et dépendances, par exemple, comment faire évoluer le service de gouvernance de la sécurité du niveau 2.5 au niveau 3.5 sur une période de deux ans.

    Hiérarchiser les projets et partager la stratégie avec les cadres dirigeants pour obtenir leur adhésion

    L’analyse des écarts et lacunes devrait déboucher sur une liste d’actions et de projets potentiels, ainsi que sur des politiques de cybersécurité à mettre en place. Cependant, seules quelques entreprises disposent des ressources nécessaires pour mener à bien toutes les activités identifiées. Fixez des priorités en vous appuyant sur les critères suivants :

    • le niveau de réduction des risques d’un projet ou d’une activité donnée
    • les ressources requises, comme les compétences, le personnel et les systèmes
    • le coût financier
    • les délais de retour sur investissement

    Incluez dans la période de planification des projets à plus long terme et à plus court terme. Cela permet au programme de sécurité de démontrer des progrès significatifs par incréments trimestriels, ce qui facilite la pérennisation de l’adhésion à long terme au programme de sécurité par la hiérarchie.

    Veillez à établir des liens entre les projets et les activités, d’une part, et les conditions actuelles, les objectifs et les forces vives, d’autre part, tels qu’ils sont décrits dans l’énoncé de la vision. Cette démarche permet d’établir un lien entre les objectifs, les réalités et les actions proposées, et favorise une communication efficace avec la direction au cours de la phase d’approbation.

    Cette communication comprendra généralement un rapport écrit et une présentation à la direction, qui décriront l’état actuel et l’état souhaité, ainsi que la manière dont les priorités contribueront à combler ces différences. La présentation doit mettre l’accent sur la contribution des projets à la valeur commerciale ajoutée. Soulignez explicitement la manière dont la stratégie de sécurité de l’information est en phase avec la stratégie commerciale dans les documents de communication destinés à la direction.

    Même après avoir obtenu l’approbation pour cette stratégie, il est essentiel d’établir une cadence trimestrielle de rapports et de communication sur les avancées et les difficultés rencontrées. Soyez clair sur les points suivants :

    • Les avantages escomptés qui ont été entièrement ou partiellement réalisés et ceux pour lesquels il n’y a pas eu de résultats suffisants
    • Les avantages et les obstacles inattendus qui se sont manifestés
    • Les projets qui ne sont pas concluants
    • Les éléments déclencheurs des mesures de sécurité ou des défis qui pourraient nécessiter une modification de la stratégie ou des politiques de cybersécurité

    Organisez des examens trimestriels et des ateliers de planification de scénarios afin de déterminer quels sont les facteurs qui ont éventuellement été modifiés et qui pourraient entraîner des adaptations de la stratégie actuelle. Ce processus d’examen devrait également permettre d’identifier les principaux indicateurs de tendances ou d’événements externes de grande ampleur qui exigeront des modifications majeures de la stratégie et de la feuille de route en matière de sécurité.

    Favorisez la concrétisation de
    vos priorités stratégiques décisives.