Faudra-t-il attendre un nouveau "cyber Pearl Harbor" pour prendre conscience des risques cyber ? Ce terme de « Pearl Harbor cyber » est la trouvaille d’un sénateur américain, après l’attaque qui avait frappé en décembre 2020 le gouvernement fédéral américain, via le fournisseur de logiciels SolarWinds. Véritable traumatisme mondial, l’affaire SolarWinds a poussé de nombreuses organisations à investir dans leur cybersécurité.

Dans les entreprises, s’il y a bien une personnalité qui ne fait pas preuve de cyber déni, c’est le responsable de la sécurité des systèmes d'information (RSSI). En France, d’après le rapport 2022 "Voice of the CISO" de Proofpoint, 80 % des RSSI estiment que leur entreprise risque de subir une cyberattaque importante au cours des douze prochains mois. Mais cette clairvoyance ne peut suffire.

Contrôler, informer, anticiper

Face à la recrudescence des cyberattaques en tout genre, le RSSI est à la recherche d’une visibilité en continu du risque cyber. Contrôler, informer et anticiper, voilà son triptyque pour créer un climat de confiance cyber auprès de son entreprise et de son écosystème.

Avec la direction des achats, le RSSI participe au choix des fournisseurs et au contrôle de leurs vulnérabilités. À cette mission vient s’ajouter, dans les grands groupes, la nécessité d’informer sa direction de la maturité cyber de l’entreprise et de ses filiales. Un rôle d’information délicat puisque les RSSI doivent éviter d’être perçus comme intrusifs par ces mêmes filiales. Pour ce faire, il leur manque bien souvent un outil d’évaluation et de pilotage du risque cyber, aussi discret qu’efficace.

Évaluer sa posture cyber, un préalable

Il existe aujourd’hui deux sortes d’entreprises : celles qui anticipent le risque cyber et celles qui le subissent. La capacité d’un RSSI à anticiper ces questions de cybersécurité est, d’une certaine manière, le lien entre ses missions de contrôle et d’information.

C’est la raison pour laquelle Board of Cyber, acteur européen incontournable de la gestion du risque cyber, a développé sa plateforme SaaS Security Rating®. Avec sa solution non-intrusive, pour évaluer, en continu et automatiquement l’exposition des organisations aux risques cyber sur leur surface internet, Board of Cyber répond aux besoins des RSSI.

Security Rating® est d’abord un outil d’évaluation, simple à mettre en place et qui produit automatiquement une présentation claire des performances cyber, ainsi qu’une cartographie des actifs techniques de l’entreprise accessibles en sources ouvertes. Cette information à forte valeur ajoutée made in Board of Cyber est une étape cruciale pour un RSSI qui veut soit alerter son conseil d’administration sur la performance cyber de l’entreprise et de son écosystème, soit informer une filiale sur la réalité de sa posture cyber.

Noter la cybersécurité pour mieux anticiper

La notation cyber (cyber rating) produite par Security Rating® et actualisée en continu est l’autre atout indispensable d’un RSSI. Grâce à cette note, qui combine tous les éléments associés aux actifs publics d’une entreprise, mais aussi à des critères plus comportementaux qui ont trait à « l’hygiène cyber » des équipes, le RSSI peut partager une information précieuse. Non seulement la notation de Board of Cyber est un puissant outil de communication pour un responsable de la cybersécurité (informer ses clients et partenaires que son entreprise excelle en la matière), mais c’est également un vecteur de confiance (rendre compte des efforts entrepris pour améliorer la posture cyber de son entreprise auprès du board) et un référentiel dans la durée pour engager son équipe dans cet effort permanent.

La plateforme Security Rating® est conçue pour faciliter le quotidien des RSSI. Grâce à cet outil unique, ils sont en mesure de produire des recommandations, d’alimenter leur direction des systèmes d’information (DSI), pour Réduire son risque de subir les attaques des cybercriminels.

L’édition 2022 « État de la cybersécurité », menée dans le monde signé Splunk et Enterprise Strategy Group, établit que 87 % des RSSI interrogés signalent des problèmes de compétences ou d’effectifs en matière de cybersécurité. Avec les données tangibles dont les RSSI disposent grâce à Board of Cyber et le gain de temps lié à l’automatisation de la solution Security Rating®, les équipes pourront dédier plus de temps à traiter les éléments les plus critiques. Diriger, c’est anticiper.