Encore aujourd’hui, les cybermenaces planent sur les entreprises, des acteurs malveillants semblant les guetter à tout moment. Une situation qui relève du cauchemar : selon Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour les cybertechnologies et les technologies émergentes, le coût moyen annuel lié à la cybercriminalité (en anglais seulement) devrait s’élever à 23 billions de dollars d’ici 2027.
Les entreprises ne peuvent plus compter sur les méthodes traditionnelles de suivi des incidents de cybersécurité, le dénombrement des vulnérabilités et le traitement des alertes de sécurité pour se faire une idée précise de leur posture. Les chefs de direction informatique se tournent de plus en plus vers les indicateurs axés sur les résultats afin d’évaluer le succès des programmes de cybersécurité et de communiquer de manière efficace l’importance et la valeur de leur travail aux autres membres de la direction et au conseil d’administration de leur entreprise. Il vous suffit, pour mieux comprendre ces indicateurs, de les comparer à une réalité quotidienne comme le conditionnement physique. Imaginez qu’au lieu de simplement effectuer le suivi de vos pas (donnée), vous évaluez aussi la qualité de votre sommeil ou vous prenez la mesure de votre tour de taille (résultats souhaités) afin de dresser un tableau plus complet de votre forme physique.
Selon Gartner, les indicateurs axés sur les résultats sont l’une des principales tendances en 2024 dans le domaine de la cybersécurité (en anglais seulement). Ils établissent un lien entre les mesures opérationnelles de sécurité et de risque et les résultats opérationnels qu’elles soutiennent. Ils fournissent une idée plus précise du lien causal entre les investissements et capacités en matière de cybersécurité et l’atteinte des résultats souhaités. Ils mettent en évidence le fait que la cybersécurité n’est plus qu’une simple préoccupation propre aux TI : il s’agit maintenant d’une pierre angulaire de la continuité d’activité, de la réputation de la marque et de la confiance accordée par les clients. Les indicateurs axés sur les résultats définissent et suivent des indicateurs de rendement clés liés à des objectifs généraux de l’entreprise. Ils établissent ainsi un lien évident entre les efforts fournis en matière de sécurité et les principaux objectifs organisationnels.
Lorsque vous établissez des indicateurs axés sur les résultats, commencez par vous demander ces questions :
Quels sont les indicateurs qui correspondent aux objectifs de l’entreprise?
Vous vous assurerez ainsi que toute initiative en matière de cybersécurité contribue directement à l’atteinte des objectifs stratégiques de l’entreprise.
En quoi ces indicateurs vont-ils faciliter la prise de décisions?
Cette question vous aidera à comprendre les cybermenaces actuelles, l’efficacité des mesures de sécurité en place ainsi que les points pouvant être améliorés.
Quels sont les enjeux de sécurité qui représentent les pires menaces pour les revenus de l’entreprise?
Les problèmes les plus fréquents sont les rançongiciels, les systèmes non protégés et le piratage psychologique.
Les quatre principaux indicateurs axés sur les résultats
Pour améliorer la sécurité de votre pile informatique, vous devez vous assurer d’établir un plan solide de réponse aux incidents qui vous fournira des données quantitatives. Dans un contexte de développement de la résilience en matière de cybersécurité, les indicateurs axés sur les résultats suivants pourraient vous aider à améliorer considérablement vos résultats opérationnels :
Temps moyen de détection (MTTD)
Le temps moyen de détection, connu sous l’abréviation anglaise MTTD, mesure le temps moyen nécessaire à la détection d’une menace ou d’une violation de sécurité informatique. Un MTTD plus court indique un système de surveillance de la cybersécurité plus efficace et réactif.
Temps moyen de réponse (MTTR)
Connu sous l’abréviation anglaise MTTR, cet indicateur mesure le temps moyen de réponse à un incident de sécurité après sa détection. Un temps moyen de réponse plus rapide est crucial pour réduire le plus possible les dommages potentiels causés par les violations de sécurité informatique et pour assurer un rétablissement et une résolution rapides.
Temps moyen de confinement (MTTC)
Le temps moyen de confinement, connu sous l’abréviation anglaise MTTC, évalue le temps nécessaire à votre équipe chargée de la réponse aux incidents pour détecter un incident, le reconnaître et de fait, empêcher le cybercriminel de causer davantage de dommages.
Rendement du capital investi (RCI) en matière de sécurité
Cet indicateur mesure les avantages financiers tirés des investissements dans la cybersécurité par rapport aux coûts. Vous obtiendrez une évaluation quantitative de l’efficacité et de la valeur de vos investissements dans la cybersécurité.
Les stratégies de cybersécurité découlant des indicateurs axés sur les résultats
Les conclusions tirées grâce aux indicateurs axés sur les résultats peuvent mener à l’implémentation des stratégies de cybersécurité suivantes, lesquelles aident à améliorer votre posture de cybersécurité.
Microsegmentation
Cette stratégie d’une grande importance permet la création de zones sécurisées dans les centres de données et les environnements nuagiques. On isole ainsi les charges de travail les unes des autres et on sécurise chacune d’entre elles. Cette approche atténue les répercussions potentielles des violations de sécurité informatique, en confinant toute attaque à un seul segment du réseau. En plus de prévenir les mouvements latéraux non autorisés au sein de vos systèmes, cette approche confine également les rançongiciels, les menaces internes, les attaques visant les chaînes d’approvisionnement et les autres cyberattaques. La microsegmentation est une capacité centrale du maintien de la conformité avec les normes relatives aux données et à la confidentialité comme le PCI, HIPAA, et le GDPR.
Gestion et analyse de vulnérabilité
Les vulnérabilités sont des faiblesses présentes non seulement dans les systèmes, plateformes, infrastructures et processus, mais aussi chez les personnes. Lorsqu’exploitées par des acteurs malveillants, elles peuvent rendre une partie ou la totalité de l’entreprise vulnérable aux attaques. L’intégration de la gestion des vulnérabilités et des menaces dans les opérations de sécurité simplifie le processus de détection et de priorisation des vulnérabilités, permettant une résolution en temps réel et une atténuation des risques.
Investissement dans les opérations de sécurité
En plus de renforcer la réponse aux menaces, l’investissement dans les opérations de sécurité aide aussi à faire cadrer les mesures de sécurité avec les objectifs opérationnels, ce qui assure une posture proactive face aux incidents de sécurité potentiels. Un investissement inadéquat dans la cybersécurité pourrait empêcher l’entreprise de se conformer aux lois et règlements comme la LPRPDE ou le Californian Consumer Privacy Act (CCPA). Ces lois régissent la façon dont les entreprises du secteur privé collectent, utilisent et divulguent les renseignements personnels au pays. La non-conformité peut entraîner des amendes et pénalités.
Lorsqu’elles découlent des indicateurs axés sur les résultats, ces stratégies garantissent que les opérations de sécurité ne sont pas seulement réactives, mais aussi prédictives, adaptatives et intégrées à la stratégie globale de l’entreprise.
Implémentation d’un cadre des indicateurs axés sur les résultats : les implications sur le RCI et l’analyse avantages-coûts
Le RCI suivant l’implémentation d’un cadre des indicateurs axés sur les résultats peut être considérable. Les indicateurs axés sur les résultats fournissent une vision claire qui permet une affectation plus stratégique des ressources, ce qui garantit que les investissements contribuent directement aux objectifs principaux de l’entreprise et à sa proposition de valeur.
Le RCI attendu joue un rôle crucial dans la prise de décision puisqu’il prévoit le rendement potentiel de l’implémentation d’un cadre des indicateurs axés sur les résultats. Il prend en compte les économies réalisées grâce à l’amélioration de l’efficacité opérationnelle, la hausse des revenus liée à une hausse du rendement et la valeur des bénéfices non tangibles comme la satisfaction de la clientèle et la réputation de la marque.
L’analyse avantages-coûts
L’analyse avantages-coûts d’un cadre des indicateurs axés sur les résultats comprend une évaluation complète des coûts associés à l’implémentation du cadre par rapport aux bénéfices attendus. Cette analyse tient compte de l’investissement initial dans la technologie et la formation, des coûts opérationnels permanents et des risques encourus. Les avantages se mesurent par l’amélioration du niveau de préparation technologique qui soutient les résultats opérationnels, la réduction du nombre de points de défaillance au sein des processus d’entreprise et un meilleur équilibre entre le besoin de protéger l’entreprise et celui de mener l’activité commerciale ordinaire.
Les implications sur la stratégie d’affaires
Les implications d’un cadre des indicateurs axés sur les résultats vont au-delà des indicateurs financiers. Un tel cadre représente une transition vers une approche en matière de gestion de la technologie qui met résolument l’accent sur les résultats, ce qui favorise le renforcement du partenariat entre les TI et les parties prenantes de l’entreprise. Cette collaboration est essentielle pour définir les priorités technologiques qui apportent une valeur ajoutée tangible à l’entreprise et pour s’orienter au sein des complexités de la transformation numérique.
Le succès des indicateurs axés sur les résultats dans différents secteurs
L’implémentation d’indicateurs axés sur les résultats est devenue une pierre angulaire de l’évaluation et de l’amélioration du rendement en matière de sécurité, et ce dans plusieurs secteurs.
Considérations relatives à la cybersécurité des services financiers
La cybersécurité est d’une importance capitale dans le secteur financier. L’adoption d’indicateurs axés sur les résultats aide les chefs de direction informatique du secteur des services financiers à définir les priorités et les investissements qui leur permettront de trouver un équilibre entre le besoin de protéger l’entreprise et celui de mener l’activité principale.
Lors d’un cyberincident récent, des cyberpirates ont exploité des fournisseurs importants de services financiers afin de créer des demandes de transfert d’argent frauduleuses, ce qui s’est traduit par des pertes financières considérables selon KPMG. La divulgation potentielle de renseignements financiers confidentiels des clients, les interruptions de service ainsi que les retards critiques ont représenté une grave menace pour les institutions financières. En plus de mettre en péril la confidentialité et la sécurité des clients, cet incident a aussi exposé les institutions à des conséquences juridiques et réglementaires. Les institutions touchées par cet incident ont dû consacrer du temps et de l’argent à examiner l’étendue des violations de sécurité informatique, à déterminer quelles données étaient compromises et à évaluer les répercussions potentielles. Elles ont aussi dû investir dans des mesures de sécurité afin de prévenir d’autres violations de sécurité informatique et de regagner la confiance de leurs clients.
Ce cyberincident a été un son de cloche pour tout le secteur des services financiers, mettant en lumière l’importance des indicateurs axés sur les résultats comme le MTTR, le MTTD et le MTTC. Cet incident a aussi mis en relief l’importance des mises à jour régulières des logiciels, des évaluations approfondies de la sécurité et de la formation continue des employés.
Cyberrisques dans le secteur soins de santé
Le secteur des soins de santé doit relever des défis qui lui sont propres en raison de la sensibilité des renseignements personnels liés à la santé et des graves conséquences qu’entraîne une violation de données. En réponse à la cyberattaque dont a été victime Change Healthcare en 2024 (en anglais seulement), les établissements de soins de santé accordent maintenant une importance particulière au suivi du nombre d’incidents survenus en raison d’une tierce partie (un indicateur axé sur les résultats). Lorsque Change Healthcare, l’une des principales entreprises de traitement des demandes de remboursement de frais médicaux aux États-Unis, a été la cible d’une attaque, le traitement des demandes de plusieurs établissements de soins de santé s’est subitement arrêté. Cet incident a mis en lumière la dépendance excessive de plusieurs fournisseurs de soins de santé à l’égard de Change Healthcare pour le traitement des demandes de remboursement, ce qui a créé un point de défaillance unique. Aux prises avec un manque de liquidités, de nombreux établissements de soins de santé ont été contraints de prendre des mesures radicales, notamment en licenciant du personnel et en puisant dans leurs fonds personnels pour faire face aux dépenses salariales. En réponse à cet incident, les responsables de la sécurité redoublent d’efforts pour affermir la surveillance des fournisseurs et renforcer les mesures de cybersécurité. Chaque établissement doit examiner de près ses pratiques en matière de protection des données, évaluer les accès aux données sensibles accordés aux tierces et quatrièmes parties ainsi que déterminer qui sont les fournisseurs essentiels à son chiffre d’affaires.
Menaces sur la chaîne d 'approvisionnement dans les secteurs de l'industrie manufacturière et du commerce de détail
Les chaînes d’approvisionnement sont de plus en plus souvent la cible des cybercriminels. En effet, 75 % des violations de sécurité informatique causées par une tierce partie visent les chaînes d’approvisionnement en logiciels et technologie, selon Splunk.
Pour les cybercriminels, les attaques visant les chaînes d’approvisionnement sont très attrayantes puisqu’elles ciblent le réseau complexe de relations qu’entretiennent les établissements avec leurs fournisseurs et prestataires de services tiers. Ces attaques exploitent des vulnérabilités qui surviennent en raison de la nature interconnectée des chaînes d’approvisionnement numériques, qui s’étendent souvent à plusieurs organisations, systèmes et emplacements. Afin de se défendre des attaques visant les chaînes d’approvisionnement, il est important pour les établissements d’analyser la posture de sécurité de tous leurs fournisseurs.
De nos jours, les indicateurs axés sur les résultats sont l’ingrédient secret d’une gestion stratégique de la cybersécurité pour les organisations. En se concentrant sur les résultats tangibles obtenus grâce aux initiatives de sécurité, les indicateurs axés sur les résultats permettent aux organisations d’aligner leurs efforts en matière de sécurité sur leurs objectifs globaux. Cette transition des indicateurs traditionnels (souvent quantitatifs) aux indicateurs axés sur les résultats permet une approche plus stratégique en ce qui concerne la sécurité. Il ne s’agit pas que du nombre de pare-feu ou de correctifs déployés, mais aussi de la façon dont ces indicateurs réduisent l’incidence des cyberattaques et améliorent la résilience d’une organisation. D’ailleurs, les indicateurs axés sur les résultats donnent une idée plus précise du rendement du capital investi, ce qui facilite la tâche aux chefs de la direction informatique et aux autres responsables qui doivent prioriser et justifier les dépenses liées à la sécurité. Contactez-nous dès aujourd'hui pour obtenir de l'aide dans la mise en place de mesures axées sur les résultats au sein de votre organisation grâce à nos services de conseil stratégique en cybersécurité.