Due diligence de cybersécurité : les questions des dirigeants aux RSSI
Ce document constitue le troisième volet d’une série de quatre articles proposant aux RSSI des conseils sur leurs stratégies de communication proactives. Il s’agit notamment de leur montrer comment traduire des informations clés et expliquer leurs actions dans le langage de leur direction, pour leur permettre de se recentrer sur la gestion des incidents, des évènements et des menaces, et ainsi limiter les impacts organisationnels.
En cas de cyberattaque, c’est auprès de vous que votre direction cherchera à obtenir des réponses et des éclairages. On peut parfois se sentir seul dans une telle situation, mais rien ne dit que vous l’êtes totalement. Si vous pouvez démontrer que vos plans et actions s’appuient sur de bonnes pratiques sectorielles et respectent toutes les directives et exigences applicables, vous aurez de quoi rallier les autres à votre cause. D’autant plus si des experts tiers ont validé vos actions. Vous rassurerez ainsi les parties prenantes sur le fait d’avoir paré à toute éventualité et engagé toutes les actions nécessaires pour protéger votre entreprise.
Une fois que la direction a bien cerné votre exposition aux cyberrisques et les moyens de la réduire, il se peut qu’elle se pose alors la question suivante : « Quelles procédures de due diligence et d’assurance sécurité avons-nous menées ? »
Sous-questions à envisager :
- Avons-nous fait valider le travail par une entité indépendante ?
- Qui s’en est chargé ? Quelles ont été la nature et l’étendue de cette validation (traque des menaces, évaluation des compromissions, etc.) ?
- Si ce travail a été réalisé en interne, comment avons-nous vérifié la robustesse de notre approche ?
Due diligence de cybersécurité : comment être sûr d’avoir fait les bons choix ?
La clé ici consiste à rassurer la direction et les autres principales parties prenantes quant à l’objectivité des analyses effectuées. Ces analyses doivent non seulement prouver que la vulnérabilité a été corrigée ou que l’attaque a été neutralisée, mais également que l’environnement n’est pas exposé aux exploits subséquemment créés.
Les entreprises qui utilisent régulièrement des logiciels open-source et dont les opérations s’étendent au-delà des frontières géographiques sont soumises à des réglementations de plus en plus strictes (RGPD, CCPA, etc.). Pour ces dernières, il est recommandé de recourir à un deuxième avis objectif pour confirmer l’élimination des risques et la protection de l’environnement contre une attaque ultérieure.
Divers outils et services (plateformes de simulation de compromissions, experts indépendants, etc.) permettent aux entreprises de reproduire des exploits et de valider la non-exposition de leur environnement à une vulnérabilité particulière. Ces outils peuvent vous aider à renforcer vos preuves de due diligence et à attester le bon fonctionnement de l’environnement pour rassurer davantage la direction.
Données d’évaluation des risques : une gestion colossale
Étayer vos réponses par des sources de données et des informations solides vous aidera à démontrer la pertinence de vos choix. C’est une démarche vitale, mais pour le moins difficile. Prenons le cas simple de l’ évaluation d’une compromission. Comment prouver que vous avez pris en compte le bon périmètre de l’entreprise pour réaliser cette évaluation ? Il vous faudra sans doute décrire la manière dont vous avez priorisé les ressources. Ladite priorisation peut reposer sur des niveaux de criticité qui, à leur tour, s’appuient sur une analyse robuste de l’impact sur l’entreprise et un système de classification des données… Bref, on peut vite tomber dans une spirale infernale.
La solution consiste à définir des liens clairs dans la hiérarchie décisionnelle que vous avez suivie. Vous démontrerez ainsi votre due diligence et pourrez fournir des preuves qui justifient votre choix de suivre une feuille de route de sécurité donnée. Par exemple, vous devrez pouvoir montrer pourquoi telle tâche a été définie de telle manière et quel travail a été réellement réalisé.
Lisez le quatrième volet de cette série qui aborde cette question clé : « Comment répondre aux exigences réglementaires ou autres demandes de conformité ? »
Et visionnez cette vidéo pour en savoir plus sur la manière de présenter la due diligence de cybersécurité à votre direction :
Nous contacter
Besoin de services de réponse aux incidents ? Faites appel à Unit 42.
Vous pensez avoir été impacté par la vulnérabilité Log4j ou victime d’une autre attaque majeure ? Contactez l’équipe Unit 42 pour échanger avec l’un de ses membres. L’équipe Unit 42 de réponse aux incidents est disponible 24h/7j/365j. Vous pouvez également demander une évaluation proactive pour mettre en place des mesures préventives.