Cyber-résilience: un tournant stratégique
Les approches traditionnelles de gestion de la sécurité de l’information se concentrent généralement sur l’aptitude d’une organisation à prévenir et détecter les cyber-attaques sur son information et ses actifs. Mais le mythe largement répandu de la cybersécurité comme parade infaillible contre les cyber-risques grâce à une série de contrôles techniques est maintenant très largement battu en brèche. La nature et la fréquence des cyber-attaques ont énormément évolué ces dernières années au point qu’une cyber-attaque réussie sur votre système d’information est désormais considérée comme inévitable.
L’accent nouvellement mis sur la cyber-résilience reflète cette évolution en déplaçant les efforts sur comment les organisations peuvent résister, réagir et surtout récupérer d’une cyber-attaque réussie. Mais une-certification du personnel sur la cyber-résilience peut-elle vraiment avoir un impact significatif sur une organisation?
Pourquoi une certification en cyber-résilience?
Un niveau de cyber-résilience trop faible est maintenant un risque considéré comme critique au niveau du Conseil d’Administration et de la direction des Entreprises, ainsi que par la sécurité, mais aussi par les équipes informatiques et de la gestion des risques. Le top management est conscient de la pénurie de spécialistes dans le domaine de la sécurité et recherche des praticiens experts compétents comprenant les vulnérabilités, les menaces et les risques, en mesure d’expliquer les impacts potentiels sur l’entreprise.
Les qualifications traditionnelles en cybersécurité se focalisent principalement sur l’identification et la prévention des attaques. En revanche, RESILIA, le référentiel de bonnes pratiques de cyber-résilience publié récemment par AXELOS, se présente sous la forme d’un portefeuille complet de publications, d’un cursus de formations et d’outils de sensibilisation visant à renforcer la cyber-résilience des Organisations en commençant par le Conseil d’Administration et en descendant sur tous les niveaux de management et opérationnels de l’Entreprise. Le guide des meilleurs pratiques de Cyber résilience (Cyber Resilience Best Practices – TSO Ed.) complète et supporte les certifications Foundation et Practitioner, la sensibilisation à l’échelle de l’organisation toute entière, et un outil aidant à définir une feuille de route en cyber-résilience permettant d’adresser et de proposer des plans d’action et/ou d’amélioration appropriés.
RESILIA n’est pas une norme et ne permet donc pas de certifier les Organisations. A l’image des autres référentiels de bonnes pratiques, RESILIA permet de qualifier et de certifier uniquement les personnes grâce à des examens qui testent leurs connaissances et leur permettent de développer des compétences pratiques en cyber-résilience basées sur un langage commun, avec le potentiel de faciliter le changement comportemental au sein des organisations. RESILIA a été développé par AXELOS® pour être un complément à ITIL et en adopte la structure. Organisé sur la base des 5 phases du cycle de vie (Stratégie, conception, transition, exploitation et amélioration continue) ainsi que des 25 processus et des 4 fonctions d’ITIL 2011, RESILIA permet aux personnes déjà certifiées sur ITIL d’intégrer les aspects de la cyber-résilience à leurs compétences déjà acquises.
Le cursus officiel de certification comporte deux niveaux: Foundation et Practitioner. Ces formations ainsi que les examens de certifications sont proposés en exclusivité par des organismes de de formation accrédités par AXELOS®. Foundation est un niveau idéal pour des acteurs au sein de départements tels que les ressources humaines, le département commercial, la finance, les achats et la formation, ainsi que la sécurité, la technologie et la gestion de services informatiques, qui ont tous un rôle à jouer pour assurer la résilience. Le niveau praticien (Practitioner) complète le niveau Foundation, qui en constitue le prérequis, et cible principalement les spécialistes de la sécurité.
La formation à la certification RESILIA se concentre sur la recherche d’un équilibre efficace entre les personnes, les processus et la technologie et contribue à construire une collaboration performante entre la sécurité, la technologie et la gestion de services IT. Les cursus ont été conçus pour compléter les cycles de formation existant en matière de sécurité technique.
Les formations et certifications RESILIA sont profitables à la fois pour les personnes et les organisations. Les individus seront en mesure de démontrer leur expertise en la matière grâce à la certification, à se différencier dans la zone à croissance rapide de la sécurité de l’information et de la résilience, où les compétences sont rares, les salaires élevés et où la certification constitue à une prime à l’emploi. En s’appuyant sur RESILIA, les parties prenantes de l’Organisation bénéficieront d’une collaboration accrue avec leurs collègues dans les différents silos fonctionnels alors même que les systèmes de gestion de cyber-résilience s’intègreront efficacement dans toute l’organisation toute entière.
Les organisations peuvent en tirer avantage pour inclure:
- une meilleure compétence organisationnelle dans le traitement de la cyber-résilience grâce à des spécialistes bien formés
- une protection contre les menaces en assurant des contrôles bien compris et supportés
- l’intégration et l’efficacité de leurs processus critiques intégrés, tels que la gestion des incidents, couvrant les cyber-risques.
Vers une compréhension commune de la gestion des risques
La formation de quelques personnes sur la cyber-résilience n’aura que peu d’effets pour protéger les organisations de cyber-menaces. De plus en plus, les menaces ciblent la plus grande vulnérabilité de toute organisation – son personnel. Une étude récente d’IBM a mis en évidence que 95% des cyber-attaques réussissent à cause des actions involontaires d’un membre du personnel. Nous avons déjà abordé ce thème dans nos récents articles Pare-feu humain : votre meilleure protection et Cyber-sécurité – Ingénierie sociale : un risque majeur.
Les personnes doivent toujours se situer au cœur de toute stratégie efficace de cyber-résilience. La sensibilisation de «tout le personnel» doit jouer un rôle fondamental dans la réduction des risques, favorisant son engagement fort, son adaptabilité aux évènements de sécurité ainsi qu’en permettant de mesurer son efficacité. Le contexte des cyber-risques est en mutation permanente. Il est donc essentiel de planifier la formation continue et la participation de l’ensemble du personnel de l’organisation à la cyber-résilience à ces programmes et de ne pas se limiter à une seule session de sensibilisation lors de l’embauche des personnels…
Une stratégie de cyber-résilience performante devrait donc incorporer les contrôles au niveau de la technique, des processus et du personnel. S’assurer que les employés sont bien formés pour reconnaître un cyber-risque, et capables de réagir en conséquence en temps opportun est essentiel. Une focalisation globale doit se faire sur l’alignement des priorités stratégiques de l’Entreprise, des outils de gestion, des services, des systèmes d’exploitation des architectures avec des programmes de formation continue et l’implication des personnels à travers toute l’organisation.
Il est essentiel d’amener les gens, les processus et la technologie à travailler de concert pour protéger, détecter et répondre aux cyber-menaces et aux attaques. Le cadre RESILIA des meilleures pratiques pour la cyber-résilience, en conjonction avec les systèmes de gestion des services existants tels que ITIL et les cadres de gestion de projets et de programmes qui incluent PRINCE2, permet aux organisations de créer une approche proactive, équilibrée et collaborative visant à l’identification et la gestion des cyber-risques tout en leur donnant la capacité de détecter et récupérer des cyber-attaques plus rapidement, en minimisant les dommages financiers ou de réputation qui pourraient en découler.
Pour plus d’information ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:
One thought on “Cyber-résilience: un tournant stratégique”