Six questions pour votre responsable de la cybersécurité

Plusieurs entreprises ont dû modifier leur façon d’opérer dans le contexte de la pandémie de COVID-19 qui frappe le monde entier.  En relation avec ces transformations rapides, on me pose régulièrement la même question.  Qu’il s’agisse de chefs d’entreprises, de CIO ou de membres de conseils d’administration, ils se demandent comment savoir si leur organisation opère de façon responsable en ce qui concerne la cybersécurité. 

Chaque organisation est différente, mais il est habituellement assez simple de savoir si votre responsable de la cybersécurité (CISO) est en contrôle de la situation. Mon équipe et moi avons donc identifié six questions principales qu’il ou elle devrait être en mesure de répondre clairement, et ce, sans entrer dans un jargon technologique ayant possiblement comme résultat de décourager les demandes d’informations. D’ailleurs, le début d’année est le moment idéal pour aborder ces questions!  

1. Quels sont les trois actifs informationnels les plus importants que notre organisation possède? 

Peut-être s’agit-il de dossiers de clients, de propriété intellectuelle, de secrets commerciaux ou d’information financière. Peu importe ce qu’ils sont, votre responsable de la sécurité devrait être très familier avec ces informations. Les protéger devrait être l’une de ses priorités.  

2. Dans nos infrastructures, où sont situées les informations importantes?  Est-ce que ces informations peuvent être copiées de façon que nous en perdions la trace?  

Dans plusieurs organisations, les informations sensibles sont initialement conservées à un endroit précis. Cependant, il arrive que les utilisateurs les copient ou les téléchargent sur d’autres infrastructures qui ne bénéficient pas des contrôles de sécurité nécessaires, ouvrant ainsi la porte aux exfiltrations de données. 

3. Est-ce que l’information sensible de notre organisation est protégée par des contrôles de sécurité adéquats partout où elle transite? Quelles sont nos lacunes importantes? 

Un responsable de la sécurité pourrait vous énumérer les technologies que l’organisation a déployées et vous pourriez, dès lors, vous sentir en sécurité. Pourtant, plusieurs lacunes et vulnérabilités connues peuvent tout de même être présentes. En comparaison avec nos maisons, nous pouvons avoir de bonnes serrures, mais si les fenêtres sont ouvertes, nous restons tout de même vulnérables au vol. Le criminel avisé ou l’employé malveillant utilisera le chemin où la résistance est la plus faible. En demandant à votre responsable de la sécurité de vous identifier quelques lacunes connues, vous pourrez constater son niveau de compréhension de la posture de sécurité de l’entreprise.  

4. Comment pouvons-nous détecter les comportements à risque de nos employés? Est-ce que ceux-ci déclencheraient des alertes ?   

Demandez à votre responsable de la sécurité de vous expliquer une ou deux situations où des comportements à risque d’employés concernant les données sensibles seraient détectés et comment les alertes seraient reçues.  

5. Considérant les changements introduits par la pandémie, quels sont nos trois plus grands enjeux de cybersécurité? Comment faisons-nous pour surveiller si les risques se matérialisent? 

Normalement, votre responsable de la sécurité devrait être parfaitement conscient des nouveaux risques introduits par les changements récents apportés aux méthodes de travail.  Il devrait être en mesure d’expliquer les nouveaux risques ainsi que les mesures prises ou à prendre pour réduire la probabilité ou l’impact de leur matérialisation.  

6. Sommes-nous prêts à répondre efficacement à un incident de sécurité? Que se passera-t-il si nous réalisons que des données sensibles ont été exfiltrées? Quelles seront nos trois premières étapes? Qui seront les joueurs impliqués? 

Dans le contexte de la pandémie, votre responsable de la sécurité devrait être au courant des moyens dont il dispose pour investiguer un incident de sécurité. Il devrait connaître la portée de la police d’assurance cyberrisques et si elle couvre votre organisation, notamment dans un contexte de télétravail. Il devrait également savoir comment interagir avec l’assureur, les communications corporatives, la haute direction, les partenaires et les clients dans le contexte actuel.  

Conclusion

En conclusion, il n’y a pas de bonnes ou de mauvaises réponses. Il se peut que les contrôles de sécurité soient faibles ou inadéquats. Si votre responsable de la sécurité est en mesure de répondre avec assurance aux questions, il est en contrôle et votre soutien sera très important pour lui.  Si ses réponses sont évasives et qu’il énumère des technologies sans les associer à des situations précises, il ou elle a besoin de renfort.