Il n’y a pas longtemps, je travaillais sur un discours et je me suis retrouvé à essayer de trouver une phrase qui résume la différence entre les organisations qui font vraiment de la cybersécurité une partie de leur culture et celles qui ne font que s’en servir pour la forme et font le strict minimum (pensez ‘15 morceaux de flair‘). Lorsque l’expression « maturité de la sécurité » m’est venue à l’esprit, j’ai pensé que j’avais conçu une idée originale et une phrase accrocheuse.
Il s’avère que c’est déjà une chose. Et une chose vraiment remarquable à cela. Le graphique ci-dessous, réalisé l’an dernier par le Groupe de stratégie d’entrepriseexplique très bien pourquoi certaines entreprises ne comprennent tout simplement pas lorsqu’il s’agit de prendre des mesures efficaces pour gérer les cyber-risques et les cyber-menaces.
Très souvent, l’expérience est le meilleur enseignant ici : les violations de données ont une drôle de façon de forcer les organisations – à coups de pied et à cris – d’une colonne verticale à l’autre dans la matrice de maturité de la sécurité. Cela dépend en grande partie de la question de savoir si les professionnels de la sécurité de l’organisation victime d’une violation ont un plan (idéalement, avant la violation) et de l’influence pour capitaliser sur la brève attention de la direction après la violation sur la sécurité pour demander des changements et des ressources qui peuvent aider l’organisation à apprendre de ses erreurs et grandir.
Mais la matrice de maturité de la sécurité ne se contente pas de montrer comment les choses sont cassées : elle fournit également une feuille de route de base pour les organisations qui souhaitent changer cette culture. Il n’est peut-être pas surprenant que les entités capables de gérer cette transition disposent généralement d’un leadership investi et intéressé à faire de la sécurité une priorité essentielle. La véritable astuce consiste à concevoir des moyens d’influencer le leadership, avec ou sans l’élan éphémère offert par une brèche.
La semaine dernière Conférence sur la sécurité RSA à San Francisco, j’ai eu la chance de rencontrer Démétrios « Laz » Lazarikosl’ancien responsable de la sécurité de l’information chez Sear. Aujourd’hui fondateur du cabinet de conseil en sécurité blue-lava.net, Laz passe beaucoup de temps à essayer de faire comprendre à ses clients la nécessité de prendre au sérieux le modèle de maturité de la sécurité. Voici son échelle mobile, qui mesure la maturité en termes de préparation et d’attentes.
Source : Lave bleue
J’aime les modèles de Laz car ils sont personnalisés pour chaque organisation, décomposant chaque unité commerciale en son propre score de maturité de la sécurité. Les abréviations dans le graphique ci-dessous – SDLC et PMO – signifient respectivement « cycle de vie du développement de la sécurité » et « bureau de gestion de projet ». Les cases rouges foncées (marquées d’un « 1 ») indiquent les domaines où l’unité commerciale de l’organisation a le plus besoin de travail.
Source : Blue Lava Consulting
La hiérarchie de maturité de la sécurité de Laz comprend cinq niveaux :
- Niveau 1 – Les processus de sécurité de l’information ne sont pas organisés et peuvent être non structurés. Le succès dépendra probablement des efforts individuels et n’est pas considéré comme reproductible ou évolutif. En effet, les processus ne seraient pas suffisamment définis et documentés pour permettre leur réplication.
- Niveau 2 – Les efforts de sécurité de l’information sont à un niveau reproductible où les techniques de gestion de projet de base sont établies et les succès peuvent être répétés. Cela est dû aux processus établis, définis et documentés.
- Niveau 3 – Les efforts de sécurité de l’information accordent une plus grande attention à la documentation, à la normalisation et au support de maintenance.
- Niveau 4 – À ce niveau, une organisation surveille et contrôle ses propres processus de sécurité de l’information grâce à la collecte et à l’analyse de données.
- Niveau 5 – Il s’agit d’un niveau d’optimisation où les processus de sécurité de l’information sont constamment améliorés grâce au suivi des commentaires des processus existants et à l’introduction de nouveaux processus pour mieux répondre aux besoins particuliers de l’organisation.
Quelle est la place de votre organisation dans ces modèles ? Sont-ils un moyen utile de maîtriser la sécurité et d’augmenter la maturité au sein de votre organisation ? Votre employeur est-il récemment passé d’un niveau de maturité de sécurité à un autre ? Si oui, dites-nous ce qui, selon vous, a provoqué ce changement ? Exprimez-vous sur ces réflexions ou sur toute autre réflexion à ce sujet dans les commentaires ci-dessous, s’il vous plaît.