Qu'est-ce que la gestion des cyber-risques ?

tball

La gestion des cyber-risques est une approche de la cybersécurité proactive axée sur la prédiction et l'atténuation des risques sur la totalité de la surface d'attaque.

Qu'est-ce que la gestion des cyber-risques ?

La gestion des cyber-risques est un moyen d'améliorer la sensibilisation à la situation de cybersécurité d'une organisation : identifier, hiérarchiser et atténuer les menaces. La gestion de la surface d'attaque (ASM) est un élément essentiel de la gestion des cyber-risques.

La gestion des cyber-risques peut être divisée en quatre parties distinctes :

  1. Identification des risques : comprendre l'infrastructure IT de votre organisation, savoir où se trouvent les faiblesses et identifier les menaces.
  2. Évaluation des risques : Évaluer la probabilité que les vulnérabilités de votre organisation soient exploitées et évaluer l’impact que l’exploitation aurait.
  3. Atténuation des risques : la mise en œuvre de mesures, telles que des contrôles techniques, administratifs et physiques, aidera à réduire l’impact des menaces. En plus de cela, le fait d'éduquer votre organisation sur les bonnes pratiques de cybersécurité et de mettre en place des directives pour les opérations de sécurité et la réponse aux incidents favorisera la résilience.
  4. Surveillance des risques :observez et examinez en  continu le paysage des risques grâce à des évaluations régulières, à la surveillance des contrôles et à la réponse aux incidents pour identifier de nouvelles menaces et évaluer l’efficacité des mesures d’atténuation

La gestion des cyber-risques couvre les mêmes phases que la gestion de la surface d'attaque : découverte, évaluation et atténuation. La phase d’évaluation comprend la notation des risques afin que l’organisation puisse évaluer et surveiller son profil de risque au fil du temps.

Que sont les cyber-risques ?

Le National Institute of Standards and  Technologydéfinit les cyber-risques  de deux manières distinctes, mais associées :

  1. « Le risque de dépendance envers les cyber-ressources (c.-à-d. le risque de dépendre d'un système ou d'éléments de système qui existent dans, ou ont une présence intermittente dans le cyberespace). »
  2. « Le risque de perte financière, de perturbation opérationnelle ou de dommages, lié à la défaillance des technologies numériques employées pour des fonctions informationnelles et/ou opérationnelles introduite dans un système de fabrication via des moyens électroniques issus de l'accès, de l'utilisation, de la divulgation, de la perturbation, de la modification ou de la destruction non autorisées du système de fabrication. »

Les deux définitions soutiennent la nécessité que les organisations adoptent et mettent en place un cadre de gestion des cyber-risques proactif.

Risques Cybernétiques Courants

Les risques cybernétiques peuvent prendre de nombreuses formes, et comprendre les types les plus courants est essentiel pour élaborer une stratégie de défense efficace. Exemples clés :

  • Attaques de Phishing
    Techniques d'ingénierie sociale conçues pour tromper les utilisateurs et les inciter à révéler des informations sensibles telles que des mots de passe ou des détails financiers. En savoir plus sur le phishing.
  • Rançongiciels
    Logiciels malveillants qui cryptent les systèmes ou les données et exigent un paiement pour leur libération. Ces attaques peuvent arrêter les opérations et causer des pertes financières importantes. Explorez les menaces de rançongiciels.
  • Menaces Internes
    Risques provenant d'employés actuels ou anciens, de contractants ou de partenaires qui abusent de l'accès aux données ou aux systèmes.
  • Vulnérabilités Non Corrigées
    Logiciels ou systèmes présentant des failles connues mais n'ayant pas reçu les mises à jour nécessaires, les laissant ouverts à l'exploitation.
  • Vol de Crédentiels
    Des identifiants d'utilisateur volés ou compromis peuvent donner aux attaquants un accès non autorisé à des systèmes ou des données critiques.
  • Attaques de la Chaîne d'Approvisionnement
    Attaques visant des fournisseurs tiers ou des partenaires pour compromettre indirectement la sécurité d'une organisation.

Pourquoi la gestion des cyber-risques est-elle importante ?

La surface d'attaque en expansion  signifie que les organisations font face à plus de cyber-risques que jamais auparavant. L'échelle et la complexité de l'environnement des menaces ont forcé de nombreuses équipes de sécurité à rester réactives pendant des années. Elles n'avaient pas la capacité, la visibilité ni les informations nécessaires pour garder une longueur d'avance sur les menaces et éviter les violations.

Dans le cadre d'une approche globale de la gestion de la surface d'attaque, la gestion des cyber-risques offre au personnel de sécurité une vue complète des risques qui pèsent sur leurs organisations. Un cadre efficace de gestion des cyber-risques aide également à déterminer quels risques sont les plus pertinents, en soutenant la « prise de décision tenant compte des risques » pour réduire l'exposition globale aux menaces.

Grâce aux informations qu'elles recueillent, les équipes de sécurité peuvent renforcer les défenses, minimiser les vulnérabilités et informer les processus globaux de gestion des risques et de planification stratégique de leur organisation.

Les organisations qui ne gèrent pas efficacement les cyber-risques pourraient subir des amendes ou des procès, y compris des poursuites pénales et des peines de prison. De nombreuses lois et réglementations comportent des exigences quant à la signalisation rapide des violations de données, et quant au respect de la confidentialité et de la sécurité des données personnelles et sensibles. Le Règlement général sur la protection des données (RGPD) de l'UE et le Health Insurance Portability and Accountability Act (HIPAA) des États-Unis sont deux des cadres les plus importants et connus.

Au-delà des pénalités encourues, les organisations qui ne gèrent pas correctement les cyber-risques et sont victimes d'une violation ou d'une perte peuvent également subir une perte de confiance et une baisse de leur réputation auprès des clients, partenaires et employés.

Face à la gravité potentielle des conséquences, de nombreux conseils d'administration s'intéressent activement à la gestion des cyber-risques pour l'entreprise. D'ailleurs, de nombreux directeurs sont tenus pour responsables des performances de la cybersécurité.

Implications des Risques Cybernétiques pour les Entreprises

Ne pas gérer les risques cybernétiques peut avoir des effets considérables sur les opérations commerciales et la réputation. Conséquences clés :

  • Pénalités Réglementaires
    Le non-respect des lois sur la protection des données peut entraîner des amendes et des sanctions sévères.
  • Pertes Financières
    Les coûts liés aux paiements de rançon, à la récupération, aux actions en justice ou à la compensation des clients peuvent être substantiels.
  • Interruption des Opérations
    Les incidents cybernétiques peuvent arrêter les systèmes critiques, interrompant la productivité et impactant la prestation de services.
  • Dommages à la Réputation
    Les violations peuvent éroder la confiance des clients et affecter la valeur de la marque, surtout si les efforts de réponse sont mal gérés.
  • Responsabilité Juridique
    Les entreprises peuvent faire face à des poursuites de la part de clients, d'employés ou de partenaires affectés par des violations de données.
  • Responsabilité au Niveau du Conseil d'Administration
    Les dirigeants et administrateurs peuvent être tenus personnellement responsables des échecs en matière de cybersécurité.

Comment la gestion des cyber-risques fonctionne-t-elle ?

La gestion des cyber-risques consiste à adopter une approche stratégique de la cybersécurité, qui est adaptée aux besoins de l'organisation et qui promeut une posture solide en matière de conformité. Elle comporte six composants ou domaines d'activité principaux, tous nécessaires. Il s'agit des suivants :

  1. Identification et classification des actifs basées sur les risques : obtenir une vue complète de l'ensemble de la surface d'attaque afin que tous les actifs et données soient connus et puissent être protégés contre les cyberattaques.
  2. Analyse des vulnérabilités basée sur les risques : analysez les actifs et testez les vulnérabilités de manière régulière et continue, en vous concentrant sur les vulnérabilités qui présentent les risques les plus importants.
  3. Évaluation des menaces basée sur les risques : analyse des risques en tenant compte de l'évolution de l'environnement des menaces et en déterminant quelles menaces sont potentiellement les plus dangereuses pour les actifs critiques de l'organisation.
  4. Hiérarchisation des risques : comprendre quels risques sont les plus urgents et potentiellement graves pour éclairer les décisions et diriger les investissements en cybersécurité.
  5. Contrôles basés sur les risques Zero Trust :Adoption de frameworks et d'architectures Zero Trust pour réduire la surface d'attaque globale et limiter les risques.
  6. Surveillance et amélioration continues : centralisation de la visibilité sur la surface d'attaque pour permettre une gestion et une adaptation continues des risques au paysage des menaces en évolution.
proactive-risk

Qu'est-ce qu'un cadre de gestion des cyber-risques ?

Un cadre de gestion des cyber-risques offre aux organisations une méthode structurée pour identifier, évaluer et atténuer les risques pour la cybersécurité de manière proactive. Il implique des politiques et des procédures qui requièrent une plateforme de cybersécurité d'entreprise.

Le National Institute of Standards and Technology (NIST) des États-Unis  apublié son cadre de cybersécurité  pour servir de modèle à d’autres organisations. Le cadre NIST est axé sur les résultats. Il aide les organisations à déterminer ce qu'elles souhaitent atteindre spécifiquement en gérant les cyber-risques, au lieu de dicter la manière de gérer les cyber-risques.

Enfin, le cadre NIST aide les organisations à comprendre et à évaluer l'état actuel de leur sécurité, à hiérarchiser les risques et les actions à effectuer, et à établir une méthode partagée ou commune pour communiquer les activités de cybersécurité, en interne comme en externe. 

Comment pouvons-nous déployer la gestion des cyber-risques ?

Les organismes du secteur public de nombreux pays ont exposé des approches graduelles pour le déploiement de cadres de gestion des cyber-risques. Le National Cyber Security Centre du Royaume-Uni, par exemple, propose une méthode en huit étapes :

  1. Déterminer le contexte organisationnel
  2. Identifier les décideurs, les processus de gouvernance et les contraintes
  3. Définir les difficultés en matière de risques pour la cybersécurité
  4. Sélectionner une approche
  5. Comprendre les risques et la manière de les gérer
  6. Communiquer et consulter
  7. Déployer et assurer
  8. Surveiller et réviser

Le modèle du Royaume-Uni souligne combien il est important de comprendre non seulement la surface d'attaque et le paysage des menaces, mais aussi le contexte et les conditions uniques de l'organisation en elle-même. Cela inclut l'objectif et les valeurs de l'entreprise, les principales parties prenantes et les risques spécifiques. Par exemple, une société de services financiers devra respecter des exigences anti-fraude et anti-blanchiment d'argent, ce qui ne sera pas le cas d'un fabricant. Ce dernier pourrait en revanche avoir besoin de gérer les cyber-risques liés à sa chaîne d'approvisionnement.

Il est essentiel de créer un cadre commun pour la gestion des cyber-risques et d'avoir une vue unifiée de l'environnement des risques (la surface d'attaque) pour déployer un cadre de gestion des cyber-risques. Les deux reposent sur différentes fonctionnalités clés. L'une, mentionnée ci-dessus, consiste à adopter une approche Zero Trust de la cybersécurité. L'autre consiste à déployer une technologie de détection et de réponse étendues (XDR) pour rassembler et analyser les données de la surface d'attaque.

L'adoption d'une plateforme de cybersécurité peut soutenir le passage au Zero Trust. Une plateforme complète comprendra aussi des opérations de sécurité telles que le XDR, qui fournit les prérequis essentiels pour la gestion des cyber-risques.

Comment la gestion de la surface d'attaque s'intègre-t-elle à la gestion des cyber-risques ?

La gestion de la surface d'attaque (ASM) est un aspect essentiel de la gestion globale des cyber-risques. Comme son nom l'indique, la gestion de la surface d'attaque se penche spécifiquement sur cette dernière : tout l'ensemble de vulnérabilités, de points d'accès et de vecteurs d'attaque qui peuvent être exploités pour obtenir un accès non autorisé aux systèmes et données d'une organisation.

L'ASM se concentre sur la découverte, l'évaluation et l'atténuation des risques liés à la surface d'attaque, idéalement de manière continue.

La découverte consiste à définir la surface d'attaque et tous les actifs qui la composent. Elle requiert une solution de gestion de la surface d'attaque capable d'analyser l'environnement IT pour identifier tous les appareils, logiciels, systèmes et points d'accès connus et inconnus. La découverte a également pour but d'identifier les applications de shadow IT, les technologies tierces connectées et les technologies qui ne faisaient pas partie des inventaires précédents.

L'évaluation est le processus consistant à déterminer l'urgence et la gravité potentielle des risques associés à tous les actifs découverts. Cela impliquela quantification des risques et la notation des risques , des moyens de hiérarchiser et de classer les vulnérabilités et les risques de manière objective.

L'atténuation consiste à agir pour traiter les vulnérabilités découvertes. Il peut s'agir d'exécuter des mises à jour du logiciel ou d'installer des correctifs, de configurer des contrôles et du matériel de sécurité, ou de mettre en place des cadres de protection comme le Zero Trust. Elle peut également consister à se débarrasser des systèmes et logiciels anciens.

Évaluation des Risques de Cybersécurité

Trend Micro Research a créé le Cyber Risk Index (CRI) avec le Ponemon Institute pour mener l’enquête sur le cyber-risque et identifier les principaux domaines pour améliorer la cybersécurité. Le CRI, actualisé régulièrement, identifie l'écart entre la sécurité actuelle d'une entreprise et ses probabilités de se faire attaquer. Utilisez le calculateur CRI ici pour déterminer le score de risque de votre organisation.

La gestion des risques cybernétiques commence par une compréhension claire de la posture de sécurité actuelle de votre organisation, ce qui commence par une évaluation appropriée des risques de cybersécurité. Ces évaluations aident à identifier les lacunes, à prioriser les actions et à guider la stratégie à long terme en évaluant la préparation face aux menaces évolutives. Des outils tels que les modèles de notation des risques cybernétiques peuvent fournir des informations précieuses sur l'exposition et la maturité – commencez en utilisant notre outil d'évaluation de la cybersécurité.

Où puis-je obtenir de l'aide concernant la gestion des cyber-risques ?

Trend Vision One™ offre une solution Cyber Risk and Exposure Management (CREM) qui veille à ce que les organisations puissent aller au-delà de l'ASM afin de réduire leur empreinte de cyber-risque. CREM adopte une approche révolutionnaire en associant des fonctionnalités clés, comme External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management et Security Posture Management, dans le cloud, les données, l'identité, les API, l'IA, la conformité et les applications SaaS, en une solution unique, puissante et simple d'utilisation. Cette solution ne consiste pas qu'à gérer les menaces. Il s'agit de créer une véritable résilience face aux-risques.

Découvrez comment la gestion de l'exposition aux cyber-risques  peut vous aider à identifier, hiérarchiser et atténuer les menaces.