L’avenir de la cybersécurité – Deloitte
Deloitte publie son “Future of Cyber Survey” après avoir interrogé plus de 500 cadres de la suite C responsables de la cybersécurité dans des organisations dont le chiffre d’affaires annuel atteint au moins 500 millions de dollars. Nous passerons en revue et résumerons certaines des conclusions de l’enquête dans ce blog.
Lorsque les organisations se concentrent sur les initiatives de transformation numérique, elles se rendent compte que le cyberespace est entré dans toutes les phases d’une entreprise, de la conception du produit à sa fabrication et à son utilisation par le client. Le cyberespace est une responsabilité à l’échelle de l’entreprise et comprend des domaines tels que l’Internet des objets (IoT) et le cloud. Avec des budgets et des ressources limités, les exécutifs de cyber c-suite ont l’impression que leur plus grand défi est l’intégration des initiatives de cyber transformation. La capacité d’appliquer un niveau élevé de cyberstratégie et de sécurité ainsi que d’assurer une gestion au jour le jour mettra probablement à rude épreuve même les équipes de cybersécurité les plus compétentes.
Les CSO et les DSI ont estimé que la cyber-transformation était le plus grand défi de la gestion de la cybersécurité dans l’infrastructure de l’entreprise, avec 35 % et 34 % respectivement.
Les organisations se concentrent sur deux des cinq éléments du cadre de base du National Institute of Standards Technology (NIST) – détecter, répondre et récupérer – tandis que la cybergouvernance occupe la troisième place. D’autres domaines, comme la gestion des identités et des accès, restent donc en suspens.
Deloitte a également constaté que les budgets de cybersécurité sont répartis uniformément dans tous les domaines, vraisemblablement pour atténuer les risques. 90 % des répondants ont déclaré que les budgets de cybertransformation sont inférieurs à 10 %. Il s’agit des budgets qui seraient réalisés sur des projets tels que la migration vers le Cloud, l’implémentation de logiciels SaaS (Software-as-a-Service), l’analyse et l’apprentissage machine (ML). Cela révèle une lacune dans la capacité organisationnelle à répondre à la cyberdemande.
Seulement 4% des responsables de la cybersécurité au niveau C affirment que la cybersécurité est à l’ordre du jour une fois par mois aux réunions du conseil d’administration. 49% disent que c’est à l’ordre du jour au moins une fois par trimestre.
Les conseils d’administration devraient envisager de mieux amalgamer les initiatives de cybersécurité à l’ordre du jour avec des indicateurs de rendement clés pour mesurer le succès.
Selon Deloitte :
“Pour assurer l’exécution efficace d’un programme de cybersécurité, la haute direction doit structurer son équipe de direction en matière de cybersécurité afin de favoriser la communication et la mise en œuvre de la sécurité à l’échelle de l’entreprise et avoir à la fois l’autorité et l’expertise nécessaires pour ce faire. Le meilleur moyen d’y parvenir est généralement de représenter la fonction cybernétique dans la suite C afin que l’organisation au sens large puisse mieux comprendre la priorité et l’importance d’adopter ou de créer une entreprise cyber-sécurisée.”
Il est important de s’assurer que la fonction informatique a un rôle suffisamment élevé pour diriger en toute confiance des initiatives cybernétiques en ligne de mire dans la stratégie et les opérations essentielles à la cyber transformation de l’organisation. Le rôle du RSSI a le pouvoir de l’être au sein d’une organisation, mais seulement 4 % des personnes interrogées ont déclaré que le RSSI siège au conseil.
32 % des répondants affirment que le RSSI relève du chef de la direction. 19% déclarent que les RSSI relèvent du DSI.
Le cyberespace est souvent bloqué par les technologies de l’information et peut également faire rapport au DSI. La sécurité informatique est assimilée à la cybersécurité, mais ce n’est souvent pas la même fonction. Cela signifie que le cyber-budget se trouve souvent dans le budget informatique. C’est peut-être la raison pour laquelle nous constatons que le cyberespace n’est pas souvent une priorité. Les RSSI n’ont plus la capacité d’élaborer une stratégie et de modifier les priorités.
50 % des DSI affirment que la fonction externalisée la plus courante de la cybernétique est la sécurité des opérations, et 48 % des DSI choisissent la détection des menaces d’initiés.
Les partenariats sont importants pour le succès des cyberinitiatives, mais les mauvaises décisions et les échecs des tiers peuvent être coûteux. D’autre part, le maintien de certaines fonctions en interne peut également s’avérer coûteux. La gestion des identités et des accès, par exemple, est un domaine dans lequel seulement 12 % des répondants affirment qu’ils externalisent, mais il est prouvé que l’externalisation peut représenter un énorme gain de temps et de coûts de développement.
48 % des personnes interrogées déclarent que le plus grand défi pour la sécurité des applications est ” le manque de structure organisationnelle appropriée pour permettre l’intégration de la sécurité dans le cycle de vie du développement des applications “.
Deloitte dit :
“Au fur et à mesure que la tendance DevSecOps s’accélère, de plus en plus d’entreprises feront probablement de la modélisation des menaces, de l’évaluation des risques et de l’automatisation des tâches de sécurité des composantes fondamentales des initiatives de développement de produits, de l’idée à l’itération, au lancement et aux opérations. DevSecOps transforme fondamentalement la cybergestion et la gestion des risques, qui ne sont plus des activités basées sur la conformité généralement entreprises à la fin du cycle de vie de développement, mais des états d’esprit essentiels à travers le parcours du produit.”
La gestion privilégiée des identités et des accès privilégiés (PAM) a été classée première priorité pour les initiatives de sécurité des identités, suivie de l’authentification avancée, y compris l’authentification multifactorielle (MFA) et l’authentification basée sur les risques (RBA).
Le montant consacré à la gestion des identités et des accès est censé augmenter plus rapidement que toute autre mesure de sécurité. C’est le fondement de l’économie numérique et reconnu comme un facteur important de la sécurité.
Deloitte dit :
“C’est là aussi que le changement organisationnel doit se produire dans l’expérience du consommateur. L’entreprise ne peut plus reléguer les identités des consommateurs à la seule gestion du marketing et des ventes ; l’organisation de la sécurité doit également avoir accès aux données, à l’accès et à la conformité des consommateurs et des tiers.”
35 % des répondants ont classé l’intégrité des données au premier rang des préoccupations concernant la cybermenace.
Les environnements d’aujourd’hui impliquent des tonnes de données et, à ce titre, les entreprises doivent hiérarchiser leurs données les plus sensibles pour les sécuriser. Plus il y a de données, plus un cybercriminel voudra trouver un point faible et l’exploiter. 90 % des entreprises ont même été confrontées à la divulgation de données sensibles dans un environnement de production au cours de l’année écoulée.
Que pouvons-nous apprendre de cela ?
Certes, si vous envisagez de créer une nouvelle organisation, vous avez la possibilité de “développer une culture cybernétique et de sécuriser par la conception une approche avec un cadre stratégique de cyber-risque dès le départ”. Dans le cas des organisations préexistantes, la haute direction devra examiner comment atteindre les résultats opérationnels en remaniant les stratégies de gestion du risque cybernétique.
Les organisations travaillent déjà d’arrache-pied pour répondre aux exigences d’un avenir cybernétique partout dans le monde, mais le rapport montre également que les organisations ne sont pas encore prêtes pour ce qui s’en vient et devront peut-être repenser leur stratégie. Passer d’une focalisation sur les problèmes informatiques à une focalisation sur le changement culturel peut être le seul moyen de maintenir le rythme et de transférer la responsabilité de l’informatique d’une organisation à l’ensemble de l’organisation.