Si le modèle de travail hybride offre de nombreux avantages, tels que la flexibilité, l'autonomie, une productivité accrue et des coûts d'exploitation réduits, il accroît également la vulnérabilité d'une entreprise aux cybermenaces et aux attaques. Étant donné que les employés migrent constamment entre leur domicile et leur bureau, les approches conventionnelles de la cybersécurité ne sont plus adaptées.
Les normes de cybersécurité qui ont été revues pour s'adapter aux conditions de travail à distance ne peuvent pas être étendues aux environnements de travail hybrides. Il est essentiel de comprendre que, outre la technologie, les êtres humains constituent également un aspect important de la cybersécurité. Il est donc insuffisant de pratiquer une approche de la cybersécurité axée sur la conformité sans tenir compte de l'élément humain. Une approche basée sur les risques est une solution efficace pour renforcer le cadre de cybersécurité d'une entreprise.
Qu'est-ce qu'une approche de la cybersécurité basée sur le risque ?
Dans ce modèle, l'accent est mis sur l'identification, la hiérarchisation et la réduction des risques, contrairement à l'approche basée sur la maturité, qui consiste à surveiller toutes les ressources du réseau d'une entreprise. Comme tous les actifs sont surveillés avec la même priorité et le même degré de contrôle, une approche basée sur la maturité réduit l'efficacité avec laquelle les risques sont identifiés et réduits, ce qui entraîne des dépenses inefficaces. L'approche basée sur les risques, en revanche, est une méthode stratégique qui vise à rendre les dépenses informatiques plus efficaces.
L'approche basée sur le risque offre également un avantage considérable par rapport aux approches traditionnelles axées sur la conformité, dont l'objectif principal est de respecter les normes de conformité réglementaire et de réussir les audits. Plutôt que de rayer des éléments de la liste des règlements de conformité, un programme basé sur le risque s'attache à évaluer et à réduire l'exposition de l'entreprise au risque. Une position basée sur le risque est considérée comme proactive plutôt que réactive, dans la mesure où l'objectif fondamental est de prévenir et de réduire les cybermenaces et les risques.
Mise en œuvre d'un programme de cybersécurité basé sur le risque à l'aide de la méthode CARTA de Gartner
La méthode CARTA (Continuous Adaptive Risk and Trust Assessment) présentée par Gartner est une approche stratégique de la gestion des risques et peut être adoptée par les entreprises désireuses d'adopter une approche de la cybersécurité basée sur les risques. La surveillance et l'analyse continues sont au cœur du cadre CARTA, ce qui permet de détecter et de réagir rapidement aux risques potentiels. L'adoption de cette approche permet aux entreprises de prendre des décisions dynamiques basées sur le risque et la confiance. Dans les solutions de sécurité traditionnelles, les décisions de sécurité sont considérées comme statiques ou binaires, car elles autorisent ou bloquent les décisions. Cette approche augmente en fait la possibilité de risques qui ont tendance à devenir progressivement plus dangereux.
En revanche, dans une approche basée sur le risque, les décisions doivent être dynamiques et basées sur le contexte pour suivre l'évolution constante du paysage de la sécurité. Cela est particulièrement important dans le cas d'un modèle de travail hybride où les déplacements des employés entre les sites distants et les bureaux sont très imprévisibles. Les entreprises doivent donc surveiller leur réseau en permanence et prendre des décisions dynamiques et contextuelles basées sur le risque et la confiance.
Selon Gartner, CARTA peut être mis en œuvre au cours des trois phases de la sécurité informatique et de la gestion des risques : Run, Build, et Plan.
Run : Dans cette phase, l'entreprise utilise l'analyse des données pour détecter les anomalies en temps réel. Ces outils d'analyse de données exploitent des algorithmes d'apprentissage automatique, et la détection est automatisée pour accélérer la réponse aux menaces. En outre, le réseau doit être surveillé en permanence pour détecter les menaces.
Build : Cette phase est liée au DevOps, où la sécurité est intégrée aux premières étapes du développement. À ce stade, les risques potentiels pour la sécurité sont identifiés avant que les applications ne passent en phase de production. Étant donné que les applications modernes sont assemblées à partir de bibliothèques plutôt que construites à partir de zéro, les bibliothèques doivent être analysées en profondeur pour détecter tout risque ou vulnérabilité. De même, l'entreprise doit non seulement effectuer une surveillance et une évaluation des risques continues pour son écosystème, mais aussi pour les partenaires numériques qui interagissent régulièrement avec son écosystème.
Plan : Dans cette phase, l'entreprise utilise des analyses pour modéliser et prévoir les zones de risque et leurs implications sur la sécurité globale. Sur cette base, l'entreprise définit le niveau de risque acceptable et fixe des priorités, en gardant à l'esprit la conformité et la gouvernance. Cela permet ensuite de prendre des décisions contextuelles et dynamiques, par opposition aux décisions binaires telles que l'autorisation ou le blocage.
7 impératifs CARTA pour une approche basée sur le risque
Gartner a fourni les sept impératifs CARTA suivants que les entreprises devraient suivre afin d'adopter une approche de la cybersécurité basée sur le risque :
1. Remplacer les passerelles de sécurité à usage unique par des systèmes de sécurité contextuelles, adaptables et programmables.
2. Découvrir, surveiller, évaluer et hiérarchiser les risques en permanence, de manière proactive et réactive.
3. Effectuer des évaluations des risques et de la confiance dès le début des initiatives commerciales numériques.
4. Instrumenter l'infrastructure pour une visibilité complète et intégrale des risques, y compris le traitement des données sensibles.
5. Utiliser l'analyse, l'IA, l'automatisation et l'orchestration pour accélérer le temps de détection, de réponse et d'évolution.
6. Concevoir la sécurité comme un système intégré, adaptatif et programmable, et non en silo.
7. Placer la prise de décision continue en matière de risque basée sur les données et la propriété du risque dans les unités commerciales et les propriétaires de produits.