Pourquoi l'alignement de votre SOC et de votre direction générale sur la cybersécurité est crucial

Adopter des solutions de sécurité de l'information appropriées et disposer d'une équipe informatique maîtrisant leur utilisation est essentiel pour protéger votre organisation contre les pirates informatiques et les cyberattaques. Cependant, un ensemble d'outils sophistiqués ne suffit pas, car un manque de communication entre votre SOC et la direction peut gravement entraver les efforts de cybersécurité.

Par exemple, la formation des utilisateurs finaux est un élément essentiel de tout plan de sécurité de l'information complet ; les employés doivent être sensibilisés à des sujets tels que la protection des informations sensibles de l'entreprise dans un environnement BYOD ou la détection d'une attaque de phishing ciblée par e-mail. Pour que les efforts de formation soient couronnés de succès, les professionnels de la sécurité de l'information ont besoin de l'adhésion totale de l'organisation, et cela commence par l'adhésion collective de la direction afin que la conviction et l'engagement se diffusent à tous les niveaux. En effet, si le directeur des opérations et le PDG, par exemple, ne font pas de la cybersécurité une priorité, la plupart des employés ne le feront probablement pas non plus.

Malheureusement pour les DSI, les RSSI et autres responsables de la sécurité de haut niveau, un fossé culturel existe entre… SOC Le problème de la direction générale est malheureusement trop fréquent. Par exemple, dans une enquête récente commandée par le groupe de défense Raytheon auprès de 1 006 DSI, RSSI et autres responsables informatiques, 78 % ont déclaré que leur conseil d'administration n'avait pas été informé une seule fois de la stratégie de cybersécurité de leur entreprise au cours des 12 derniers mois. De plus, seuls 42 % des répondants à une enquête de PwC ont indiqué que leur conseil d'administration participait activement à la stratégie globale de sécurité et seulement 25 % ont affirmé que leur conseil d'administration était impliqué dans l'évaluation des risques liés à la protection de la vie privée au sein de leur organisation.

Si vous avez du mal à convaincre les hauts dirigeants de votre entreprise d'accorder à la cybersécurité l'attention qu'elle mérite, il est peut-être temps d'adopter une approche plus offensive en utilisant des tactiques telles que :

• Présentation de données financières concrètesRien ne capte autant l'attention des dirigeants que des informations financières percutantes. Alors, à la prochaine occasion, partagez des données convaincantes, comme le fait que le coût moyen d'une faille de sécurité pour une entreprise s'élève à 11,6 millions de dollars, selon Brian Krzanich, PDG d'Intel. Ce genre de chiffres impressionnants démontre clairement que tous les membres de la direction ont tout intérêt à mettre en place une stratégie de sécurité informatique robuste.

• Inscrire les briefings mensuels au calendrierExigez une réunion mensuelle avec les dirigeants de votre entreprise afin de leur présenter un aperçu de la politique de l'entreprise et les points pertinents. indicateurs de sécurité et suggérer d'éventuels ajustements stratégiques. Vous pouvez même profiter de ce temps pour aborder l'actualité du secteur afin de susciter l'intérêt. La communication régulière de rapports d'avancement permet de maintenir l'engagement des dirigeants dans le processus de sécurité de l'information, et cet engagement se répercutera sur l'ensemble de l'entreprise.

• Fournir des mises à jour sur les dernières tendances et solutions en matière de sécuritéSi vous parvenez à programmer les réunions mentionnées ci-dessus, prenez le temps de détailler les dernières tactiques employées par les cybercriminels et les mesures de cybersécurité disponibles – telles que la réponse automatisée aux incidents ou la sécurité définie par logiciel – permettant de les contrer. Tenir la direction informée des dernières évolutions en matière de sécurité de l'information lui permet de contribuer plus efficacement aux discussions sur les politiques et les achats, ce qui facilite le travail du RSSI ou du DSI.

Comme pour tout projet d'envergure, obtenir l'adhésion de la direction à la cybersécurité exige un investissement en temps considérable en amont. Mais comme pour tout investissement judicieux, le résultat final justifie largement les efforts déployés.