Enfin, vous avez obtenu le budget de cybersécurité pour lequel vous avez fait pression, mais où le dépenser ? Comme pour tout budget, il est important de choisir les domaines qui vous permettront d'en avoir le plus pour votre argent. Une analyse attentive de ce qui se passe dans le paysage de la cybersécurité vous aidera à prendre la bonne décision en matière de dépenses de sécurité.
Voici le guide de MetaCompliance pour savoir où dépenser votre budget de cybersécurité.
Principaux domaines dans lesquels dépenser votre budget de cybersécurité
Les budgets ont été serrés, selon un rapport de McKinsey, mais en 2021, 70 % des RSSI ont l'intention de demander une augmentation significative de leur budget de cybersécurité. Les cyberattaques dans les entreprises de toutes tailles et dans tous les secteurs entraînent un besoin de fermer les écoutilles et de renforcer nos systèmes informatiques contre les pirates. MetaCompliance a examiné cinq domaines clés qui méritent un budget de cybersécurité durement gagné :
Formation à la sensibilisation à la sécurité et au hameçonnage
La prévention est moins coûteuse que le traitement lorsqu'il s'agit des dommages que peuvent causer les cyberattaques. Prenons l'exemple des ransomwares. Le rapport Sophos "State of Ransomware 2021" a révélé que le coût de la remédiation d'une attaque par ransomware a doublé au cours des 12 derniers mois pour atteindre, en moyenne, 1,85 million de dollars.
Les ransomwares sont souvent diffusés via des emails de phishing. Un rapport d'Egress datant de 2021 va dans le même sens en soulignant que 95 % des responsables informatiques pensent que les données sont menacées par le canal des e-mails. Le rapport indique également que 83 % des organisations ont subi une violation de données par e-mail au cours des 12 derniers mois, 24 % des violations étant dues à un employé partageant des données par erreur. L'humain dans la machine est un point de risque qui doit être traité de toute urgence.
La formation des employés de l'ensemble de l'organisation sur les questions de cybersécurité, y compris les considérations relatives à la protection de la vie privée, est une étape fondamentale dans la réduction des risques de cybersécurité. La formation à la sensibilisation à la sécurité peut être adaptée au profil de votre entreprise. Les employés qui tombent dans le piège de l'hameçonnage peuvent également bénéficier de programmes de formation anti-hameçonnage spécialisés, qui leur apprennent à réfléchir avant de cliquer sur une pièce jointe ou un lien malveillant.
Gouvernance, risques et conformité
Protection des données Les réglementations sont strictes et la conformité à ces réglementations exige beaucoup de temps et de ressources. Les réglementations nécessitent souvent l'aide de spécialistes pour s'assurer que les exigences sont correctement respectées. L'impact de la non-conformité est coûteux, non seulement en termes d'amendes onéreuses, mais aussi en termes de perte de confiance des clients et d'atteinte à la réputation.
L'aide d'entreprises spécialisées ayant les compétences nécessaires pour évaluer vos besoins en matière de conformité peut faciliter ce processus. Les consultants en conformité peuvent s'assurer que votre organisation respecte les réglementations et les normes et l'aider à combler les éventuelles lacunes en matière de conformité.
Outils et mesures de sécurité
La mise en place des bons outils de sécurité est un poste de dépense essentiel du budget de la cybersécurité. Mais devez-vous externaliser la gestion de la sécurité ou déployer et maintenir ces mesures en interne ? La réponse dépend de votre niveau de compétence dans l'utilisation des mesures de sécurité modernes, dont certaines sont intelligentes et peuvent nécessiter des connaissances spécialisées pour être configurées et interprétées.
Une autre considération est de savoir à quel type de mesure de sécurité consacrer le budget de cybersécurité. Cette décision dépend de votre secteur d'activité et d'autres considérations telles que les besoins de travail à distance et les interactions avec des tiers et les données des consommateurs. Mais en règle générale, il faut envisager de dépenser le budget de cybersécurité dans les domaines suivants :
- Gestion des identités et des accès (IAM) : Le vol d'identifiants et le bourrage d'identifiants (où les fraudeurs tentent de s'introduire dans des comptes à l'aide d'identifiants volés) constituent un problème majeur de cybersécurité. Les justificatifs d'identité volés permettent aux fraudeurs de dérober de grandes quantités de données. Selon le rapport d'enquête de Verizon sur les violations de données, la compromission des informations d'identification est à l'origine de 61 % des violations.
- Sécurité de confiance zéro: Le principe "ne jamais faire confiance, toujours vérifier" est à l'origine de l'utilisation de l'approche de sécurité "Zero Trust".
- Sécurité des terminaux: Le travail à distance a fait exploser le nombre de points d'extrémité, tels que les appareils mobiles. Chaque point final est une passerelle potentielle vers un réseau.
- Sécurité des applications: 72 % des organisations ont subi une violation à cause d'une vulnérabilité de la sécurité des applications.
- Sécurité du cloud: Un rapport de Gartner Inc. a révélé que d'ici 2025, 99 % des défaillances de la sécurité du cloud seront imputables au client. Garter recommande d'utiliser des politiques de gouvernance et de surveillance pour réduire les risques dans ce domaine.
Cyber assurance
Si le pire se produit et que votre organisation est infectée par un ransomware, ou que votre employé est victime d'un harponnage et que votre base de données clients est piratée, et ainsi de suite, la cyberassurance peut contribuer à atténuer la douleur. La cyberassurance couvre généralement les pertes dues aux dommages causés aux systèmes informatiques et à la perte d'informations provenant des systèmes et réseaux informatiques. Les coûts de l'assurance cybernétique varient, mais certains assureurs proposent des primes réduites si votre organisation peut prouver qu'elle a mis en place certaines mesures de sécurité, par exemple :
- Formation de sensibilisation à la cybersécurité
- Conformité aux normes sectorielles en matière de sécurité et de confidentialité des données, telles que la norme ISO 27001.
- Tests de pénétration réguliers de vos systèmes et réseaux informatiques
Mesures et KPI (indicateurs clés de performance)
Pouvoir mesurer l'efficacité de vos mesures de sécurité est un excellent moyen de justifier vos choix de dépenses, ou de modifier les budgets futurs. Les mesures de sécurité donnent un aperçu de l'efficacité de votre posture de sécurité, et notamment de l'efficacité de vos mesures de conformité. Ces mesures offrent un moyen quantitatif de montrer à la direction et aux membres du conseil d'administration comment fonctionne un programme de sécurité des données. Ces mesures peuvent également jouer un rôle dans la documentation de l'approche de l'entreprise en matière de protection des données, conformément aux exigences réglementaires. L'analyse des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) donne une vue d'ensemble de votre équipe et de votre position en matière de sécurité, ce qui vous permet d'optimiser les mesures et les approches.
Il existe plusieurs indicateurs clés de performance qui peuvent être mesurés. Voici quelques exemples de mesures de menaces :
- Incidents de sécurité
- Temps moyen de détection (MTTD)
- Temps moyen de résolution (MTTR)
- Temps moyen de détection (MTTD)
Dépenser, dépenser, dépenser sur les budgets de cybersécurité
Les dépenses de sécurité devant dépasser 1 000 milliards de dollars dans le monde d'ici 2025, il est essentiel d'optimiser votre budget de cybersécurité pour éviter le gaspillage. Vous savez peut-être déjà où votre organisation est le plus à risque, mais continuez à vous renseigner sur le paysage de la sécurité au fur et à mesure qu'il évolue. En ayant une bonne connaissance de ce qui se passe dans le secteur et du type d'aide disponible pour atténuer le risque cybernétique, vous pouvez vous assurer que le budget convenu vous en donne pour votre argent.
