Même si le RSSI (Responsable de la Sécurité des Systèmes d’Information) a renforcé sa position stratégique auprès des organisations, plusieurs défis se dressent encore sur son chemin, notamment la démonstration de l’intérêt de nouveaux investissements en cybersécurité. Ainsi, il est urgent de trouver des moyens pour quantifier le risque.
Le besoin de quantifier le risque en cybersécurité
En vue de gagner en légitimité auprès de la direction et des métiers, une évaluation des cyberrisques s’impose. Et cela doit être fait de la façon la plus objective possible. Il est effectivement presque impossible de convaincre et d’avoir les investissements nécessaires pour garder sa feuille de route cybersécurité, sans un indicateur pertinent afin de démontrer l’efficacité des investissements menés. Pour évaluer objectivement le risque, il est nécessaire que chaque acteur notamment les entreprises prenne conscience de la valeur de la sécurité de leurs données et celles de leurs clients. En mettant la protection des données comme une priorité, le RSSI et bien étendu l’équipe responsable de la sécurité informatique peuvent décrocher du soutien de la part de la direction.
Quelques pistes pour évaluer le risque
Même à l’heure actuelle, il n’y a pas encore de méthode standard ni de base de données statistiques permettant de mesurer concrètement l’effet d’une cyberattaque. Récemment, une étude a été entreprise auprès de RSSI pour évaluer le retour sur investissement de leurs efforts en termes de sécurité informatique. Comme résultats, les approches sont plutôt diversifiées. En effet, on a 43 % des entités enquêtés qui analysent le risque interne ou externe. À côté, environ 42 % effectuent une évaluation des économies tout en évitant le risque. Aussi, il existe 39 % qui affirment l’absence de faille de sécurité.
L’importance d’une vision à long terme
Pour faire comprendre à un conseil d’administration les enjeux de la cybersécurité, il est primordial d’utiliser un langage compréhensible au commun des mortels. C’est la seule alternative pour octroyer des ressources nécessaires et instaurer une confiance durable. Les membres des comités de direction veulent des conclusions de tests d’intrusions et d’audits de sécurité. Le RSSI doit alors être capable d’expliquer les types d’incidents ayant touché l’entreprise et les mesures déjà mises en place. Là où on est maintenant, il est de la responsabilité de chacun de trouver les outils les plus adaptés afin de chiffrer le risque et de convaincre la direction.