Gouvernance Planification Sécurité Stratégie

Identifier et établir les priorités des investissements en cybersécurité

La sécurité de l’information est assurément un souci de plus en plus aigu pour les gestionnaires TI et accapare une part de plus en plus importante des budgets technologiques.

Comment identifier les investissements les plus opportuns et optimaux en sécurité de l’information? Quelles actions doivent être entreprises en priorité?

Étape 1 : Établir la posture en sécurité de l’information

Pour estimer la posture en sécurité de l’information, il faut présenter aux principaux gestionnaires et experts de la sécurité des TI un questionnaire qui reprend les sous-catégories du référentiel du NIST[1] permettant de quantifier le degré de conformité de l’organisation. L’important est d’utiliser le même référentiel pour ainsi mesurer au fil du temps l’évolution de la posture. Il est essentiel de choisir des participants des différents paliers de l’organisation : stratégique (hauts gestionnaires), tactique (gestionnaires de premier niveau) et opérationnel (professionnels experts).

Ce questionnaire peut être rempli de façon individuelle et autonome, mais il est aussi possible d’obtenir les informations à l’aide d’entrevues individuelles ou en groupe.

La posture d’une valeur de 1 à 5 est établie en calculant la moyenne des réponses par sous-catégorie.

Étape 2 : Comparer les résultats avec des entreprises similaires

Les référentiels tels que le NIST sont utilisés par plusieurs organisations dans différents domaines d’affaires. Certains fournisseurs, notamment BitSight (https://www.bitsight.com/), ont développé une offre permettant à des organisations membres de comparer leur posture de sécurité entre elles. Ainsi une organisation peut déterminer si sa posture se compare avantageusement par rapport à d’autres dans son domaine d’activité, ou, le cas échéant, identifier des pistes d’amélioration à entreprendre.

Étape 3 : Élaborer un plan d’action

La première étape de l’élaboration du plan d’action en sécurité de l’information consiste à établir les priorités. Pour ce faire, les participants doivent remplir une seconde fois le questionnaire, mais en prenant compte du degré de conformité désiré dans 3 ans, pour chacune des sous-catégories du référentiel NIST. Notons qu’il est opportun que les participants soient informés de la posture en sécurité de l’information et des résultats de la comparaison avec d’autres organisations du même domaine d’activité.

L’écart entre la posture actuelle et celle d’ici 3 ans doit être pondéré avec le niveau de risque évalué en cas de statu quo. Les écarts de posture allant de 0 à 4 seront multipliés par l’évaluation de la probabilité d’un incident (noté de 1 à 5) et de la gravité de son impact (lui aussi noté de 1 à 5). Une note de 0 à 100 est ainsi associée à chacune des sous-catégories du référentiel NIST.

Pour procéder à la sélection finale des sous-catégories prioritaires, il est nécessaire de prendre un certain recul et tenir compte du niveau hiérarchique d’un participant dans l’organisation et du nombre de répondants par palier. À titre d’exemple, dans le cas d’une entreprise publique pour lesquelles les incidents de sécurité risquent d’être rendus publics, il peut être opportun d’attribuer une pondération plus élevée aux réponses des gestionnaires stratégiques portant sur les risques ayant un impact sur l’image de l’organisation. De plus comme ces derniers sont généralement d’un nombre moindre que les répondants du palier opérationnel, on aura le souci d’éviter que les réponses des répondants de paliers supérieurs ne soient diluées dans celles des répondants du palier opérationnel.

L’approche consiste par la suite à traduire la sélection finale des sous-catégories retenues (une dizaine), en initiatives à entreprendre pour produire les contrôles ou livrables identifiés par le référentiel NIST. La production de ces livrables permet de démontrer l’atteinte du niveau de conformité souhaité.

Pour produire le plan d’action en sécurité de l’information, il faut échelonner dans le temps la réalisation des initiatives en fonction de divers facteurs bien connus de la gestion de portefeuille de projets tels que les orientations stratégiques de l’entreprise, la disponibilité des ressources, etc.

Conclusion

Cette approche permet d’évaluer la posture en sécurité de l’information, d’identifier et d’établir les initiatives à entreprendre en priorité, tout en tentant compte des points de vue des gestionnaires et experts de l’organisation.

Le degré de précision de l’estimation de la posture en sécurité de l’information obtenue ne peut rivaliser avec un audit indépendant basé sur la production de preuves irréfutables. Toutefois, compte tenu des courts délais et du faible coût de son utilisation, cette approche peut être appliquée à une fréquence plus élevée et permettre ainsi d’adapter le plan d’action en sécurité de l’information à la vitesse de l’évolution du contexte dans lequel œuvre l’organisation.

[1] Bien que l’article désigne le référentiel NIST, la même approche peut également être appliquée en utilisant le référentiel ISO 27002.