Face à la massification des cyberattaques, seule une approche centrée sur les aspects les plus critiques au niveau des métiers peut efficacement protéger les entreprises et soulager des équipes cyber sous tension. Explications avec Cyril Amblard-Ladurantie, Product Marketing chez MEGA International.
SNC – Pourquoi le risque cyber est-il la menace n° 1 pour les organisations ?
C. A.-L. – C ’est u ne menace majeure car chaque risque cyber est un risque métier (business). Aujourd’hui, tous les processus de l’entreprise reposent sur des technologies IT : chaîne de montage industrielle, flux logistiques, facturation client, etc. Pour y faire face, les organisations recherchent une protection à 100 % de leurs systèmes d’information. Les responsables sécurité des systèmes d’information (RSSI) sont en première ligne, avec l’injonction de sécuriser tous les processus de l’organisation – y compris les plus subsidiaires, ce qui est impossible ! Notamment en termes de ressources : les budgets cybersécurité ne sont pas illimités et le recrutement de compétences reste difficile. Pour ne pas épuiser leur RSSI et muscler leur cyber-résilience, les organisations doivent rationaliser leurs ressources et prioriser leurs actions de cybersécurité. Cela passe avant tout par une double vision métier et IT.
SNC – Comment disposer d’une vision mixte métier et IT ?
C. A.-L. – En alliant la cartographie des actifs informatiques de l’entreprise (rôle central de l’architecture d’entreprise) à la cartographie des processus qualifiés selon leur niveau de criticité métier. Superposées, ces deux cartographies permettent d’identifier clairement les processus les plus sensibles pour les métiers (cœur d’activité, création de valeur) et les actifs IT qui les soutiennent.
Dès lors, il devient facile de flécher en priorité les investissements cyber sur les zones les plus critiques, en évitant les efforts excessifs pour surprotéger des zones moins sensibles. Soit l’exact opposé d’une démarche cherchant l’exhaustivité, qui peut s’avérer contre- productive : insuffisante pour les processus critiques, trop coûteuse pour les autres et, comme on le constate actuellement, épuisante pour les équipes cyber : 56 % des professionnels français de la cybersécurité seraient à la limite du burn out, selon SoSafe. Pour les DSI et RSSI, cette double cartographie facilite la création de rapports axés sur les enjeux métiers, facilement présentables au comité de direction pour obtenir de meilleurs budgets de protection des SI face aux risques, réduire les primes d’assurance cyber, etc.
SNC – Dans ce contexte, quels sont les apports de MEGA International et de sa solution HOPEX ?
C. A.-L. – En tant que plateforme transverse, HOPEX est le point de rencontre des enjeux, défis et contraintes de tous les acteurs de la cyber-résilience d’une organisation : DSI, SSI, architectes, métiers, départements risque et conformité ou encore data office. La solution propose une approche connectée entre l’organisation, ses processus et l’ensemble de ses outils et référentiels, via des cartographies prêtes à l’emploi afin de renforcer sa résilience numérique. Cette approche, alignée sur les recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI) et les différentes réglementations en cours (Dora, NIS 2, etc.), permet de concentrer les efforts sur les activités les plus critiques, de fédérer les parties prenantes et de mutualiser les actions de sécurisation.
Au-delà de l’outil, MEGA International a développé une méthodologie structurée pour renforcer la résilience numérique, de la construction des cartographies IT et métiers au contrôle du dispositif, en passant par l’évaluation des risques et des services tiers, la planification de la résilience (tests, plans de continuité et de reprise d’activité) et la gestion des incidents cyber. Ainsi préparées, les organisations peuvent prioriser leurs actions et envisager un futur cyber plus serein – et moins stressant !
Pour en savoir plus : www.mega.com