Aligner votre programme de gestion des cyber-risques sur les résultats de votre entreprise
La clé pour obtenir l'adhésion à votre feuille de route en matière de cyber-risques dans un contexte de restrictions budgétaires et de défis en matière de personnel.
Cette affirmation n'est pas surprenante : le nombre et la sophistication des cyberattaques ont augmenté de façon alarmante cette année. En fait, l'étude de la société de sécurité informatique NCC Group sur les cyber-attaques a été publiée en mars 2023. de l'entreprise de sécurité informatique NCC Group de mars 2023 a récemment fait état d'une augmentation de 91 % des attaques par ransomware en mars 2023 par rapport à février 2023 et d'une augmentation de 62 % d'une année sur l'autre par rapport aux données de mars 2022. Prenons par exemple la cyberattaque contre MGM Resorts au début du mois - il n'est pas nécessaire de chercher bien loin pour constater que les ransomwares sont toujours d'actualité.
Entre-temps, la proposition de 2022 de la SEC sur les nouvelles réglementations relatives à la gestion des risques de cybersécurité, à la gouvernance et à la divulgation des incidents incite les entreprises publiques à repenser la manière dont elles informent leur conseil d'administration et leurs parties prenantes.
Ainsi, que ce soit par besoin ou par demande, les entreprises de toutes tailles et de toutes complexités réévaluent et renforcent leurs programmes de gestion des cyber-risques. Mais la question qui se pose est la suivante : Comment mettre en place des programmes de cybersécurité matures au sein de votre entreprise tout en faisant face à des contraintes budgétaires et à des réductions d'effectifs ? Comment obtenir l'adhésion de votre conseil d'administration s'il manque des connaissances essentielles sur l'évolution des menaces et leur impact potentiel ?
Faire face à l'énigme du rapport entre les risques et les ressources
Les attaques sont en hausse, les coûts sont en hausse, le nombre de mauvais acteurs est en hausse - l'industrie du risque est à un point d'inflexion. Lorsque les entreprises sont capables de planifier et de réagir avec agilité (et de recevoir les investissements nécessaires pour le faire), elles connaissent un succès important. Mais il est difficile d'obtenir des investissements sur un marché financièrement restreint.
Trois obstacles principaux vous séparent d'un programme de gestion des cyber-risques plus solide, en phase avec les objectifs économiques et opérationnels de votre entreprise :
Obstacle n° 1 : manque de savoir-faire technique
Les réductions d'effectifs et la rotation du personnel ont créé des lacunes en matière de connaissances, en particulier au sein des petites organisations et au niveau des cadres supérieurs dans les grandes entreprises.
La solution : Appuyez-vous sur les personnes de votre organisation (y compris celles qui ne font pas partie de votre département) qui possèdent les compétences nécessaires. Intégrez-les dans votre programme dès le début, ce qui vous permettra d'économiser sur les coûts de formation des nouveaux employés et de minimiser la nécessité de demander des rôles plus ouverts.
Obstacle n° 2) Un budget limité pour le CRG
Nos activités commerciales sont dictées par le résultat net - en particulier dans l'environnement actuel, où l'économie mondiale continue de se contracter, où les licenciements et les réductions budgétaires sont monnaie courante et où la volatilité de la chaîne d'approvisionnement n'a jamais été aussi forte.
Sachant que les investissements dans les initiatives de cybersécurité sont généralement considérés comme des coûts plutôt que comme des améliorations - et que les ressources sont limitées dans tous les départements - il n'a jamais été aussi important pour les professionnels du risque de relier leurs objectifs au résultat net de leur entreprise.
La solution : Quantifier le risque de violation ! Combien d'enregistrements sont conservés dans cette application particulière ? Quel type de données ? Lorsque vous pouvez mettre un signe monétaire ou un horodatage devant l'étendue de l'impact, davantage de personnes sont susceptibles d'écouter. Mais vous devez savoir ce qui intéresse votre organisation et adapter vos mesures à ce modèle.
Obstacle n° 3) Suivre l'évolution du paysage des risques (et du réseau des fournisseurs)
Moins d'une organisation sur dix surveille activement les risques au sein de sa chaîne d'approvisionnement, ce qui signifie que l'externalisation des services à des fournisseurs tiers amplifie les risques. Alors que les entreprises dépendent de plus en plus de l'assistance de tiers, le paysage des menaces ne cesse de s'élargir.
La solution : Le contrôle et la quantification continus des risques vous permettent de suivre en permanence les mises à jour susceptibles d'avoir un impact sur la continuité de vos activités.
Bien entendu, ces solutions sont simplifiées et rationalisées ici pour gagner du temps. Pour plus de détails sur la manière de mettre en place un programme de gestion des cyberrisques avec des ressources limitées, consultez notre livre blanc.