Retour sur le printemps à Washington, DC

Gartner, NIST et les Washington Capitals

Personnel de Mitratech
Personnel de Mitratech Juin 26, 2018 5 minutes de lecture
Decorative image

Ces dernières semaines du printemps ont été mouvementées ici dans la région DMV (DC, MD et VA pour mes amis et collègues non locaux), avec le sommet Gartner Risk and Security Management Summit, le mois de l'intégrité de la chaîne d'approvisionnement du gouvernement américain, l'ajout de la gestion des risques liés à la chaîne d'approvisionnement dans le cadre du National Institute of Standards and Technology (NIST) Cybersecurity Framework 1.1, et une formidable parade pour célébrer la victoire des Washington Capitals à la Coupe Stanley !

Alors, qu'ai-je appris sur la cybersécurité qui soit pertinent pour les entreprises et les fournisseurs...

  1. Pensez toujours à l'entreprise : ses objectifs, ses stratégies et ses plans pour atteindre ces objectifs, et son fonctionnement réel. Cela devrait être le point de départ de tout le reste : connaître l'objectif et le contexte est primordial ! En réfléchissant au contexte, Gartner a évoqué la tendance généralisée du commerce numérique, qui consiste à optimiser les modèles existants générateurs de revenus et à créer de nouveaux modèles commerciaux basés sur la technologie, ainsi que les risques liés au commerce numérique qui en découlent. Vous en avez probablement beaucoup entendu parler, ou peut-être pas, mais il était intéressant de réfléchir à la manière dont cette tendance a élargi la surface d'exposition aux cybermenaces par rapport à il y a quelques années seulement.
  2. Approfondissez votre réflexion pour hiérarchiser les activités : quels sont les joyaux de la couronne ou les actifs numériques essentiels ? Utilisez des cadres de risque compréhensibles pour relier les activités, la sécurité et les risques. Au fur et à mesure que vous approfondissez votre analyse, réfléchissez à ce qui est le plus important, c'est-à-dire vos joyaux : propriété intellectuelle, plans d'affaires, systèmes informatiques centraux. Soyez en mesure d'en discuter, ainsi que de votre appétit pour le risque et de votre tolérance au risque, dans un langage simple et humain (pas dans le jargon des fournisseurs, ni dans un langage encore plus technique, ni dans un langage spécifique à l'informatique). Cela permettra de rapprocher l'activité, la sécurité et les risques en comparant ce qui est comparable. Je vous invite vivement à vous procurer la présentation intitulée « Digital Business KPIs and Risk: Identifying and then Measuring Value » (Indicateurs clés de performance et risques des entreprises numériques : identifier puis mesurer la valeur) de Paul E. Proctor, qui examine le changement de paradigme en matière de risques, passant de l'impact par rapport à la probabilité à une vision commerciale de la valeur par rapport à l'appétit pour le risque.
  3. Adoptez une vision plus large et incluez les écosystèmes commerciaux et les chaînes d'approvisionnement dans la gestion des risques et la cybersécurité. Réfléchissez à la manière dont les entreprises fonctionnent aujourd'hui avec des écosystèmes complexes de tiers : fournisseurs en amont et partenaires en aval travaillant à travers des chaînes d'approvisionnement physiques et numériques. Il s'agit de relations dynamiques et totalement interconnectées. Pensez au nombre de violations de données, impliquant des informations de propriété intellectuelle ou des informations personnelles identifiables critiques, qui ont été commises par des tiers. La version révisée du cadre de cybersécurité 1.1 du NIST consacre la gestion des risques liés à la chaîne d'approvisionnement, reconnaissant l'importance d'adopter cette vision plus large lors de l'élaboration de programmes de cybersécurité. En fait, le gouvernement américain a instauré le mois d'avril comme le mois de l'intégrité de la chaîne d'approvisionnement afin de souligner l'importance de l'écosystème.
  4. Enfin, considérez le rôle facilitateur de la technologie et la vision de la gestion intégrée des risques. Si vous vous associez à Prevalent ou à tout autre fournisseur de technologies, comment tirez-vous parti de la technologie pour améliorer la gestion des risques et la cybersécurité ? Gartner et le NIST parlent tous deux de gestion intégrée des risques (IRM), que j'interprète comme la pile technologique du futur. Elle transcende les cloisonnements entre les différentes disciplines liées aux risques et permet aux unités commerciales et à l'écosystème de jouer un rôle direct et dynamique. L'IRM évolue, avec une vision forte pour l'avenir.

Je suis ressorti de tous ces événements exceptionnels avec la conviction que la proposition de valeur unique de Prevalent et son approche leader du marché en matière de cyber-risques liés aux tiers correspondent étroitement à l'analyse de Gartner et à l'importance accordée par le gouvernement américain et le NIST aux risques liés à la chaîne d'approvisionnement. Notre vision holistique des tiers influence la manière dont nous définissons et abordons les risques, en utilisant plusieurs méthodes et outils, de l'évaluation à la surveillance. De même, nous ne nous contentons pas d'examiner les informations techniques sur les cybermenaces, mais nous tenons également compte du contexte stratégique en intégrant la veille économique dans nos solutions de gestion des cyberrisques.

Pour finir, je voudrais conclure en parlant des écosystèmes et des communautés, en évoquant les Washington Capitals, la Coupe Stanley et Alex Ovechkin. La Coupe Stanley et la parade du championnat ont rassemblé des centaines de milliers de personnes dans la région métropolitaine de Washington, qui constituent un « écosystème » ou une communauté. Cela a montré l'importance du fonctionnement puissant des écosystèmes et la façon dont un grand événement peut avoir un effet boule de neige sur toute une région, plusieurs États et même plusieurs pays, avec des joueurs représentant leurs communautés du monde entier, menés par Ovechkin et la Russie, mais aussi par d'autres joueurs venus du Canada, d'Autriche, de République tchèque, du Pays de Galles (Royaume-Uni), de Suède et du Danemark. C'est une chose rare à voir dans une vie, ainsi que dans le monde des affaires : une communauté aussi puissante se rassembler, comme on a pu le voir tout au long du défilé. Pour la région DMV comme pour nos entreprises, espérons qu'en prenant conscience de l'objectif global, de ce qui est le plus important, de l'implication de l'écosystème et de la communauté, et des outils ou technologies appropriés avec l'IRM, nous pourrons continuer à tirer parti de la puissance des communautés pour assurer notre succès continu.

Pour découvrir comment la plateforme unifiée de Prevalent contribue à sécuriser les relations commerciales, téléchargez notre document intitulé « Approche globale de la gestion des risques liés aux tiers ».

Jared Feinberg est directeur principal du renseignement sur les menaces et l'un des responsables de la gestion des produits chez Prevalent. Il s'attache à permettre aux entreprises de travailler en toute sécurité avec leurs partenaires commerciaux et leurs fournisseurs à travers le monde en concevant des solutions technologiques de pointe. Il met à profit plus de 15 ans d'expérience professionnelle à la croisée de la sécurité nationale et du commerce international pour conseiller les cadres supérieurs en matière de stratégie commerciale et de gestion des risques.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.