C'est la saison d'une meilleure cyberhygiène : naviguer dans la gestion des risques informatiques en 2024
Préparez votre organisation à garder une longueur d'avance dans la bataille permanente contre la gestion des risques informatiques et cybernétiques.
Alors que les entreprises ont de plus en plus recours à des services tiers et à des technologies en nuage, les cybercriminels sont de plus en plus habiles à exploiter les vulnérabilités, ce qui entraîne une recrudescence des cyberattaques. En fait, une étude menée par l'université du Maryland a révélé qu'un acteur menaçant cible l'infrastructure de cybersécurité d'une entreprise toutes les 39 secondes en moyenne.
En réponse, les organismes de réglementation resserrent leur étau, ce qui nécessite une approche proactive et transparente de la gestion des risques informatiques. Mais à quoi ressemble cette approche et comment les entreprises peuvent-elles rester conformes (et prêtes à répondre aux questions des parties prenantes) ?
Les réglementations en matière de cybersécurité et de gestion des risques informatiques continuent de se développer dans le monde entier
La plupart des régions ont mis en place des lois sur la protection de la vie privée et la sécurité (comme le GDPR de l'UE ou le DPA du Royaume-Uni, pour n'en citer que quelques-unes) dans le but de façonner les réglementations en matière de cybersécurité. Avec l'augmentation du nomadisme numérique au sein de la main-d'œuvre et la dépendance à l'égard de tiers à mesure que de nouvelles exigences réglementaires apparaissent, la maîtrise de ces changements - dans chaque région où vous opérez avec un certain nombre d'employés - nécessitera une stratégie efficace et complète de gestion des risques informatiques.
Prenons l'exemple de la Securities and Exchange Commission (SEC) des États-Unis. Consciente de la menace croissante que représentent les cyberincidents, la SEC a introduit en 2023 une règle révolutionnaire en matière de divulgation d'informations sur les cyberincidents. Selon cette règle, les entreprises publiques opérant aux États-Unis sont désormais tenues de signaler les incidents importants dans les quatre jours ouvrables suivant leur découverte. En outre, des informations annuelles sont requises pour faire la lumière sur la gestion des risques de cybersécurité, la stratégie et la gouvernance.
Les règles proposées par la SEC approfondissent des aspects spécifiques, en soulignant l'importance de la divulgation des incidents importants, des mises à jour périodiques sur les événements précédemment signalés et des subtilités des politiques et procédures d'un déclarant pour identifier et gérer les risques liés à la cybersécurité. En outre, les règles proposées mettent en lumière la surveillance du conseil d'administration, le rôle de la direction dans l'évaluation et la gestion des risques de cybersécurité et le rapport annuel sur l'expertise du conseil d'administration en matière de cybersécurité.
Et n'oubliez pas : les entreprises d'aujourd'hui sont peut-être passées des salles de serveurs sur site à des tiers, des fournisseurs de services en nuage, etc. Au fur et à mesure que votre réseau se développe, vous devez vous assurer que vos fournisseurs, partenaires et autres tiers respectent vos politiques et procédures internes - une tâche qui devient de plus en plus difficile dans le cyberenvironnement actuel.
Élaborer un cadre solide de gestion des risques informatiques
Dans cet environnement réglementaire dynamique, les organisations doivent relever de manière proactive les défis de la cybersécurité en élaborant un cadre solide de gestion des risques informatiques. Il s'agit non seulement de se conformer à des réglementations spécifiques (comme la règle de divulgation des données informatiques de la SEC), mais aussi de disposer des ressources nécessaires pour prouver cette conformité et répondre à toutes les questions des parties prenantes au sujet de votre programme de gestion des risques informatiques.
Une stratégie efficace de gestion des risques informatiques implique une surveillance continue, des politiques et procédures actualisées et une visibilité globale. En adoptant une attitude proactive, les organisations peuvent naviguer dans un paysage réglementaire en constante évolution, protéger leurs actifs et renforcer leur résilience face aux tactiques changeantes des cybercriminels.
Votre conseil d'administration est sur le point de s'impliquer plus que jamais dans la compréhension et la supervision de votre technologie de gestion des risques informatiques - et il va commencer à poser plus de questions. Avec notre dernier ebook, dotez-vous des connaissances et des outils nécessaires pour répondre en toute confiance aux questions de vos parties prenantes et garder une longueur d'avance dans le domaine en constante évolution de la surveillance des risques informatiques.