En matière de protection informatique, la sensibilisation est l’un des principaux moyens d’anticiper les menaces et de réduire les risques.
L’association Cigref, réseau de grandes entreprises et administrations publiques françaises qui se donnent pour mission de réussir l’intégration et le développement du numérique, publie régulièrement des guides et des ressources afin d’informer et de sensibiliser le plus grand nombre des entreprises sur le sujet de la sécurité informatique.
Rapport Cigref : décryptage
Ainsi, un nouveau guide vient tout juste d’être publié par l’association, intitulé « Rapport cybersécurité : Visualiser, Décider, Comprendre ».
Ce guide est extrêmement intéressant mais aussi quelques peu fastidieux à parcourir, de par sa composition en 36 pages.
Afin de mettre à la portée de tous de façon pédagogique les informations les plus pertinentes de ce document, Déessi vous propose un article qui en résume les parties les plus intéressantes. Si vous souhaitez poursuivre la lecture, n’hésitez pas à télécharger le guide sur son site officiel.
Parce que le retour sur investissement des dépenses en cybersécurité est difficile à évaluer, les DSI doivent expliquer au conseil d’administration ou au comité de direction les risques qui menacent l’entreprise en matière de sécurité informatique et les indicateurs à mesurer dans ce domaine, afin de justifier les dépenses et les budgets.
Un rapport sur les risques informatiques
Le Cigref propose donc dans son guide une méthodologie de présentation de rapports et de tableaux de bord.
- une description des activités les plus exposées aux risques informatiques
- une présentation de la stratégie de l’entreprise en matière de cybersécurité
- des éléments d’actualité permettant d’évaluer l’état des menaces
- une comparaison des vulnérabilités de l’entreprise au regard des structures du même secteur
- une description de l’évolution des risques
- une description de la politique de sécurité mise en place
- une description du Plan de Continuité d’Activité préparé par l’entreprise
- un rapport sur les menaces constatées et les solutions apportées
- un rapport sur les audits réalisés depuis 5 ans et sur le résultat
- des indicateurs vitaux pour rendre compte de l’activité interne de l’organisation (par exemple le nombre de feuilles critiques restant à corriger ou le nombre de tests d’intrusions)
- des indicateurs qui rendent compte de l’état du parc bureautique, du parc applicatif et de la gestion des habilitations et des accès
- les dispositifs techniques de détection des incidents mise en place par l’entreprise
- les dispositifs de crise
- les nombres d’exercices effectués
- les résultats
- une analyse de la conformité de l’entreprise au regard des textes réglementaires
- une présentation visuelle des différents indicateurs et de leur évolution
Outre cette méthodologie de présentation de rapport, le Cigref propose dans la 2ème partie de son guide des éléments de conseils et d’accompagnement dans la mise en place de la stratégie de cybersécurité :
- un listing de l’ensemble des acteurs a impliqué dans la stratégie de cybersécurité et de leurs différents rôles
- des recommandations sur la façon de gouverner le risque cyber pour le DSI, le directeur des risques ou encore le RSSI
Le guide présente également ses recommandations et ses conseils sur :
- une réflexion sur l’importance de l’analyse des risques qui doit être actualisée et s’appuyer sur une méthodologie précise et quantifiée
- sur l’importance d’une mutualisation de la veille cyber
- sur l’importance de la sensibilisation du comité exécutif au risque cyber
Comment bien se préparer aux attaques informatiques
Enfin, dans une 3ème partie, le guide du Cigref propose des points clés pour préparer son action en vue d’une cyberattaque majeure et réussie :
- comment se préparer en cas d’attaque
- quelles sont les mesures d’urgence à mettre en place dès les premières minutes
Infographies
Cette partie du guide, succincte, apporte pourtant des éléments concret et utile que nous nous proposons nous retranscrire à travers 2 infographies. N’hésitez pas à télécharger nos infographies pour plus d’infos.
Pour télécharger une infographie, cliquez sur l’image, puis utiliser le clic droit + enregistrer sous :
Cyberattaque, les 5 mesures d’urgence des premières minutes
6 bonnes pratiques pour se préparer à une attaque informatique
Source :
Guide du Cigref “Rapport cybersécurité : Visualiser, Décider, Comprendre.”
https://www.cigref.fr/wp/wp-content/uploads/2018/10/Cigref-Rapport-Cybersecurite-Visualiser-Comprendre-Decider-Octobre-2018.pdf