L’Outil Surpuissant pour Exploser ton Chiffre d'Affaires en 2025 !
Différencier les problèmes de personnes, de processus et de technologie : un guide pour les RSSI
En matière de sécurité, savoir que vous avez un problème ne représente que la moitié de la bataille, voire même. Trouver comment résoudre le problème efficacement est ce qui compte vraiment.
Et pour ce faire, vous devez déterminer la cause première du problème. S’agit-il d’un problème humain, comme le manque de personnel de sécurité ? Est-ce que ce sont des processus inefficaces qui entravent la communication au sein des équipes de sécurité ? Est-ce un manque de technologie adaptée pour permettre les opérations de sécurité ?
Pour les RSSI, répondre à ces questions est rarement simple. La plupart des problèmes proviennent d’un mélange complexe de déficiences humaines, de processus et de technologies, mais identifier leurs sources peut s’avérer un véritable défi.
Cela devient toutefois plus facile lorsque les responsables de la sécurité disposent d’un cadre cohérent pour évaluer l’efficacité de leurs collaborateurs, de leurs processus et de leur technologie – c’est pourquoi j’ai récemment développé un tel cadre pour IDC. Voici un aperçu des conseils qu’il propose et de la manière dont les RSSI peuvent les exploiter pour identifier la cause profonde des lacunes en matière de cybersécurité, ainsi que pour maximiser l’impact des investissements en matière de sécurité.
Contexte : Le défi d’évaluer la cause profonde des failles de sécurité
Permettez-moi de commencer par partager une petite histoire pour expliquer pourquoi IDC a développé un guide pour évaluer les problèmes liés aux personnes, aux processus et à la technologie en matière de cybersécurité.
Récemment, j’ai aidé à conseiller un client d’IDC dont l’équipe de sécurité avait du mal à corriger des milliers de vulnérabilités. Ils connaissaient le problème et savaient en théorie ce qu’ils devaient faire pour le résoudre – corriger ou corriger les vulnérabilités – mais ils avaient constamment du mal à fermer les vulnérabilités ouvertes plus rapidement qu’ils n’en découvraient de nouvelles.
Pour aller à la racine du problème, il fallait déterminer si le problème provenait du personnel de sécurité, des processus ou de la technologie de l’entreprise. N’avaient-ils tout simplement pas suffisamment de personnel pour remédier aux vulnérabilités assez rapidement ? Manquaient-ils de processus de remédiation efficaces ou cohérents ? Leurs outils de détection des vulnérabilités ont-ils échoué, par exemple en générant de fausses alertes positives sur des vulnérabilités qui n’existaient pas réellement ?
Alors que mes collègues d’IDC et moi discutions de ces possibilités avec le client, nous avons réalisé que ce type de défi – trier les personnes des processus des faiblesses technologiques dans le domaine de la cybersécurité – était un défi répandu pour les organisations de tous types, et pas seulement pour ce client. . Même si les dépenses en matière de cybersécurité restent une priorité absolue pour les entreprises (Les dépenses de sécurité restent la priorité absolueIDC, septembre 2023), les résultats en matière de cybersécurité n’ont fait qu’empirer ces dernières années, des catégories de menaces telles que les ransomwares établissant de nouveaux records en termes d’ampleur et d’impact des attaques.
Si les entreprises consacrent plus d’argent à la cybersécurité tout en connaissant de pires résultats, nous en avons déduit qu’elles ne dépensaient probablement pas cet argent aussi efficacement que possible. Ils pourraient par exemple surinvestir dans les technologies de sécurité, tout en sous-investissant dans les personnes qualifiées pour exploiter au maximum cette technologie.
L’interaction complexe des personnes, des processus et des technologies de sécurité
Il est facile de comprendre pourquoi une entreprise ne parvient pas à maximiser l’impact de ses investissements en cybersécurité. Il est rarement facile d’identifier les plus grandes faiblesses des stratégies de cybersécurité en raison de problèmes tels que le manque de suivi complet des indicateurs de cybersécurité et l’incapacité de déterminer l’impact des dépenses dans différents domaines sur les résultats.
Vous ne saurez pas si l’embauche de davantage de personnel de sécurité entraînera une réduction des violations réussies, par exemple si vous ne surveillez pas en permanence les données dans ces deux domaines. Vous ne pouvez pas non plus déterminer si l’investissement dans un nouvel outil de correctif améliore la vitesse de correction des vulnérabilités si vous ne suivez pas les données pertinentes.
Un cadre pour identifier les forces et les faiblesses de la cybersécurité
Mais en surveillant les bonnes informations et en les analysant de manière cohérente, les entreprises peuvent distinguer efficacement les personnes et les processus des problèmes technologiques. Par exemple, lorsqu’il s’agit de personnes, elles peuvent suivre les mesures suivantes :
| Métrique | But |
|---|---|
| Effectif de l’équipe de cybersécurité | Suivre la taille totale de l’équipe de cybersécurité pour établir une référence pour l’étendue des ressources en personnel |
| Dépenses en personnel de cybersécurité | Surveiller les coûts de personnel liés à la cybersécurité, qui représentent généralement la plus grande part des dépenses |
| Heures travaillées par le personnel sur les travaux planifiés | Surveillez le temps que le personnel consacre à effectuer des tâches de routine (comme la surveillance de la sécurité) et déterminez quand le personnel est débordé. |
| Heures travaillées par le personnel pour des travaux imprévus (comme travailler en dehors des heures normales pour répondre à un incident majeur) | Surveillez le temps que le personnel consacre à répondre à des défis inattendus et urgents et déterminez si des problèmes tels que des outils ou des processus inefficaces conduisent à un excès de travail imprévu. |
Ces données offrent une visibilité quantifiable sur les investissements de sécurité qu’une entreprise a réalisés dans la catégorie « personnes ». En comparant ces données avec des mesures liées aux processus et à la technologie, les responsables de la sécurité sont en mesure de tirer des conclusions éclairées sur leurs réussites et leurs échecs.
À titre d’exemple simple, imaginez que les effectifs du personnel de cybersécurité restent inchangés depuis des années et que le nombre de vulnérabilités ouvertes ait considérablement augmenté au cours de la même période. Cela suggère que l’organisation ne dispose tout simplement pas de suffisamment de personnel pour faire face à l’augmentation des taux de vulnérabilités et/ou qu’elle bénéficierait de meilleurs outils de détection des vulnérabilités. Bien entendu, si les données relatives aux investissements technologiques montrent que l’organisation a amélioré sa technologie de gestion des vulnérabilités au cours des dernières années, les dirigeants d’entreprise pourraient alors exclure les lacunes technologiques comme cause première des problèmes de gestion des vulnérabilités.
Il s’agit bien sûr d’un exemple simple. Dans le monde réel, les problèmes liés aux personnes, aux processus et à la technologie se chevauchent souvent de manière complexe, et identifier la cause profonde d’un défi de sécurité est rarement aussi simple que de comparer seulement deux points de données. Mais lorsque vous disposez d’un riche ensemble de données pour suivre à parts égales l’efficacité des personnes, des processus et des technologies chargés de la sécurité, vous devenez capable de prendre des décisions éclairées concernant les failles de sécurité, même les plus complexes.
C’est du moins la philosophie qui sous-tend le cadre que nous avons développé pour aider les responsables de la cybersécurité à réfléchir à leurs forces et leurs faiblesses en utilisant le modèle personnes-processus-technologie comme guide.
En savoir plus sur Recherche d’IDC pour les leaders technologiques.
International Data Corporation (IDC) est le premier fournisseur mondial d’informations commerciales, de services de conseil et d’événements pour les marchés technologiques. IDC est une filiale en propriété exclusive d’International Data Group (IDG Inc.), le leader mondial des services de médias technologiques, de données et de marketing. Récemment élu cabinet d’analystes de l’année pour la troisième fois consécutive, les solutions technologiques leaders d’IDC vous fournissent des conseils d’experts soutenus par nos services de recherche et de conseil de pointe, de solides programmes de leadership et de développement et les meilleures données d’analyse comparative et d’approvisionnement. auprès des conseillers les plus expérimentés de l’industrie. Contactez-nous dès aujourd’hui pour en savoir plus.
Christophe Tozziconseiller de recherche adjoint pour IDC, est maître de conférences en informatique et société au Rensselaer Polytechnic Institute. Il est également l’auteur de milliers de billets de blog et d’articles pour divers sites de médias technologiques, ainsi que de nombreuses publications scientifiques.
Avant de se consacrer actuellement à la recherche et à l’écriture sur la technologie, Christopher a travaillé à temps plein en tant que professeur d’histoire titulaire et analyste pour une startup technologique de la région de la baie de San Francisco. Il est également un connaisseur de longue date de Linux et a occupé des postes dans l’administration système Linux. Cette combinaison inhabituelle de compétences techniques « concrètes » et d’un accent sur les questions sociales et politiques aide Christopher à réfléchir de manière unique à l’impact de la technologie sur les entreprises et la société.
Source link