Quelles sont les missions d’un Comité d’évaluation des menaces cyber ; depuis le début de la crise sanitaire en France, le nombre de cyberattaques a explosé. L’ANSSI a notamment annoncé avoir enregistré 1 082 intrusions au sein de systèmes d’informations en 2021 soit 37% de plus qu’en 2020 avec 786 intrusions.
Outre l’augmentation des cas de cyberattaques, on assiste aussi à une constante évolution du paysage des cybermenaces. De nouvelles menaces plus dangereuses apparaissent, alors que certaines déjà connues se renforcent, rendant inefficaces les dispositifs traditionnels de cybersécurité déjà en place. Tout cela exige des organisations étatiques, de faire régulièrement des évaluations de routine de la cybersécurité.
Dans une organisation, la réalisation des évaluations des menaces cyber est souvent confiée à une équipe de professionnels dans la cybersécurité, mais parfois aussi à un comité. Un comité d’évaluation faisant référence un groupe temporaire chargé de superviser le processus d’évaluation.
Quelles sont les missions d’un comité d’évaluation des menaces cyber ; c’est la question à laquelle nous allons répondre dans cet article. Mais d’abord, voyons brièvement ce qu’est l’évaluation des menaces de cybersécurité ?
Sommaires
L’évaluation des menaces de cybersécurité, c’est quoi ?
Une évaluation régulière des menaces cyber vous permet d’identifier les dangers et risques qui pourraient affecter votre posture de sécurité, conduisant à une prise de décision plus éclairée sur la meilleure façon d’allouer des fonds pour mettre en œuvre des contrôles de sécurité et protéger le réseau. Elle fait référence à un ensemble de processus d’évaluation des dangers qui pèsent sur les actifs informatiques ainsi que sur les données de l’entreprise. À part cela, elle s’intéresse aussi à l’évaluation des capacités de l’entreprise à se protéger des cybermenaces.
Les entreprises ont besoin d’évaluer les menaces cyber pour identifier et hiérarchiser les risques pour qu’ils puissent ensuite être traités rapidement. Les évaluations de menaces cyber visent également à tenir les principales parties prenantes et les membres du conseil d’administration informés de la posture de cybersécurité de l’organisation.
Les experts en cybersécurité conseillent aux entreprises de mener des évaluations des menaces cyber qui tiennent compte de leurs objectifs commerciaux, plutôt que sous la forme d’une liste de contrôle comme on le ferait pour un audit de cybersécurité. D’après ce qu’ils avancent, c’est en procédant ainsi que les entreprises peuvent réellement identifier les dangers et les faiblesses du réseau qui pourraient affecter leurs activités et leurs productions.
Qu’est-ce qu’un comité d’évaluation des menaces cyber ?
Un comité d’évaluation, à la différence d’une équipe d’évaluation permanente, est un groupe de personnes qui se réunissent temporairement pour superviser le processus d’évaluation. Ils sont aussi mandatés pour prendre des décisions clés, d’examiner les résultats de l’évaluation puis les soumettre pour approbation au président du comité.
Généralement, seules des situations critiques ou inhabituelles rendent légitime la mobilisation d’un comité d’évaluation. Les entreprises font aussi appel à un comité lorsque son équipe informatique n’a pas l’expérience, les capacités ou encore les équipements nécessaires pour faire une évaluation des menaces qui soit réellement fiable.
Dans certains cas, il arrive aussi que la partie très technique de l’évaluation des menaces cyber est toujours confiée à l’équipe informatique. Le comité, lui, n’intervient que pour décider de ce qui doit être fait.
Un Comité d’évaluation des menaces cyber pour maintenir la conformité aux réglementations
Nous l’avons déjà dit, une évaluation complète de la cybersécurité est essentielle pour déterminer si votre organisation est correctement préparée ou non pour se défendre contre une série de menaces.
Mais vous aurez également besoin de mettre en place un comité d’évaluation des menaces cyber pour que le système informatique et réseau de votre entreprise soit en conformité aux principales réglementations, telles que le RGPD (règlement général sur la protection des données), qui est une loi de l’UE, le PCI-DSS qui est une norme de sécurité des données de l’industrie des cartes de paiement ou encore le CMMC qui est un modèle de maturité américaine exigeant des entreprises et des sous-traitants de la défense se soumettre à une évaluation de la cybersécurité afin de certifier le niveau nécessaire de cybermaturité…
Comment le comité d’évaluation de cyber menaces procède-t-il ?
Une évaluation efficace des cybermenaces peut varier d’une organisation à l’autre en fonction de son secteur d’activité ou des exigences réglementaires spécifiques à son emplacement géographique. Toutefois, la base reste la même. Voici les étapes à suivre lors de la réalisation d’une évaluation des menaces de cybersécurité par l’équipe ou comité d’évaluation :
-
Identification des actifs qui feront l’objet d’évaluation – Etape 1
Le comité commence par identifier les actifs qui feront l’objet d’évaluation afin de déterminer la portée complète de l’évaluation de la cybersécurité. Il peut en effet être avantageux de commencer par limiter le champ d’application à un type d’actif à la fois plutôt qu’à tous à la fois.
Les actifs choisis sont ceux qui nécessitent une protection urgente, du fait de leur importance, mais aussi à cause du fait qu’ils ont des faiblesses pertinentes et présentent des vulnérabilités exploitables.
-
Identification des menaces de cybersécurité associées à chaque actif- Etape 2
La prochaine étape d’une évaluation de la cybersécurité consiste pour le comité chargé de cette mission à identifier les menaces et risques de cybersécurité qui pourraient affecter les actifs afin de pouvoir calculer la probabilité de divers scénarios de perte pour la prise de décision future.
Pour cela, il utilise différents types de solutions logicielles d’identification de menaces, de vulnérabilités et d’intrusions. Il tient également compte de la façon dont l’actif est utilité et aussi comment il peut être attaqué par des acteurs malveillants.
C’est généralement à la suite de cette étape qu’une entreprise sait si oui ou non ses systèmes informatiques et réseau respectent ou non les exigences de conformité en matière de cybersécurité requises par son secteur.
-
Analyse des menaces et détermination de leur potentiel – Etape 3
Il est maintenant temps pour le comité de déterminer la probabilité qu’un incident donné se réalise réellement ou encore qu’une vulnérabilité donnée va réellement être exploitée par les acteurs malveillants. En fonction de leur impact aussi, ces menaces feront ensuite l’objet de classement. Les plus dangereuses, celles qui sont les plus fréquentes et les plus susceptibles de coûter cher à l’entreprise, sont les menaces qui vont être traitées en priorité.
-
Établissement et surveillance en permanence les contrôles de sécurité – Étape 4.
Une fois que le comité a fini d’identifier et analyser les actifs et les vulnérabilités critiques au sein du réseau, l’étape suivante consiste à mettre en œuvre des mesures de sécurité capables de surveiller en permanence la cybersécurité de l’entreprise. Cela garantira que les contrôles qui ont été mis en place répondent aux exigences organisationnelles et protègent les informations importantes de manière continue.
Conclusions sur les cyber menaces