Dans les entreprises, la numérisation des modes de travail s’est accélérée depuis la crise du Covid-19, amplifiant une pénurie inquiétante dans le domaine de la cybersécurité. Si de nombreuses organisations investissent dans des infrastructures IT de plus en plus complexes, les professionnels capables d’appréhender la nature même du risque cyber se font rares. Et cette pénurie des talents est mondiale.

Mais avant de se lancer à la recherche de ces talents, les entreprises doivent se doter de moyens simples, efficaces et fédérateurs pour connaître avec précision leurs besoins en cybersécurité. C’est l’essence même de Security Rating®, la solution de cyber évaluation développée par Board of Cyber.

Travailler sa « posture cyber » ****

Internet représente l’une des premières vulnérabilités des organisations. Et pour cause : les outils des cybercriminels pour scanner le web n’ont jamais été aussi efficaces. Dès lors, avec Internet, les failles de sécurité tombent dans le domaine public.

"Pour une entreprise, montrer ses vulnérabilités revient à se présenter comme le fruit au pied de l’arbre attendant d’être dévoré par le premier visiteur venu."

Pour ne pas devenir ce fruit sans défense, une entreprise doit travailler sa « posture cyber », évaluer l’état de ses vulnérabilités avant d’espérer remonter au sommet de l’arbre.

Le risque cyber lié à un tiers, une priorité

Dans une récente étude, le Ponemon Institute indique que le risque cyber lié aux écosystèmes des entreprises prend de l’ampleur. Les exemples des raids menés contre Solarwinds ou Kaseya prouvent, par leurs conséquences mondiales, que ces attaques « indirectes par rebond via un prestataire » sont à prendre très au sérieux. Car après tout, si mon serrurier donne par mégarde les clés de mon appartement à tout le quartier, il y a péril en la demeure. Encore faut-il, pour qu’une entreprise évalue efficacement ses vulnérabilités cyber, ne pas se tromper de méthode.

Si de nombreuses organisations lancent leurs programmes de "Third Party Risk Management" (TPRM), souvent basés sur des questionnaires d’auto-évaluation, ces derniers sont voués à l’échec tant ils sont chronophages et déclaratifs.

Dès lors, comment un DSI ou un RSSI peut évaluer l’ensemble des chaînes de sous-traitance et d'approvisionnement (Cyber Supply Chain Risk Management) ? Face à ce risque lié à un tiers, Security Rating© devient indispensable. Par son approche non intrusive, la solution de Board of Cyber entre dans la gamme des outils les plus efficients. Mais elle est également ludique et simple d’utilisation.

Vers une gamification des enjeux cyber

Les dirigeants ont tendance à l’oublier, mais leurs équipes informatiques se composent parfois d’aficionados des jeux vidéo, de collaborateurs pour qui World of Warcraft, Fortnite ou Mario Kart sont synonymes de compétition et de « scoring ». Pour ces talents, l’idée de « patcher » un serveur ou de paramétrer 2 ou 3 options sur le portail d’un fournisseur de cloud pour améliorer de 10 points le « score cyber » de leur entreprise peut devenir une activité ludique. Si cette pratique est en plus encouragée et valorisée par leurs dirigeants, l’évaluation cyber pourra devenir l’un des piliers de la cybersécurité de l’entreprise.

En partageant avec ses équipes les principes de la notation générée par Security Rating®, la solution de Board of Cyber, un dirigeant trouvera ainsi de nouveaux relais auprès de ses équipes pour parfaire sa cybersécurité de façon pragmatique et ludique. Qui réussira à monter au-dessus des 850 points de Security Rating® en moins de 3 mois ?