Les activités de gouvernance, de gestion des risques et de conformité au sein des entreprises ne cessent d’évoluer et de générer une variété d’informations issues de sources toutes aussi diverses. Cette multiplicité de données de GRC (Gouvernance, Risque, Conformité) pose alors un défi majeur aux équipes de sécurité en matière de collecte et d’analyse. Ce qui nécessite une approche de centralisation pour en faciliter la gestion. Mais de quelles données et flux s’agit-il réellement ? Et en quoi la centralisation de ces données représente la réponse adaptée ? Dans cet article, revenons sur la diversité des données et les avantages de la centralisation pour le RSSI et ses équipes.
Une diversité de données et de flux à centraliser
Les types de données GRC à collecter
La complexité inhérente aux activités de gouvernance, de gestion des risques et de conformité, génèrent une multiplicité de données. Mais d’où proviennent-elles précisément ?
- Les politiques de sécurité de l’entreprise
Exigences de conformité, réglementations applicables à l’entreprise et à son secteur d’activité, lois, normes… Toutes ces politiques de sécurité constituent une source essentielle de données GRC. Elles définissent les règles et les directives d’accès aux ressources, la gestion des mots de passe, la sécurité des réseaux et bien d’autres aspects. Les données qui en découlent permettent de surveiller la conformité aux normes de sécurité, de détecter les écarts éventuels et de prendre les mesures nécessaires pour renforcer la posture de cybersécurité de l’entreprise.
- Les informations sur les risques
Vous le savez, chaque entreprise est exposée à des risques cyber potentiels dans différents domaines (comme les attaques de phishing, les vulnérabilités logicielles sur des installations industrielles, les demandes de rançon, les fraudes sur les moyens de paiement…). Ces risques peuvent être liés à la sécurité de l’information, à la continuité d’activité, à la conformité, mais aussi des risques opérationnels, financiers ou bien encore relatifs à la réputation de l’entreprise. Les données collectées en sont donc issues et permettent d’identifier, d’évaluer et de gérer ces risques de manière proactive.
- Les plans d’action liés à la gestion des risques
Les plans d’action détaillent des mesures spécifiques à prendre pour atténuer les risques identifiés. Contrôle de sécurité, plan de continuité d’activité (PCA), plan de reprise d’activité (PRA), plans de réponse aux incidents… Autant de données qui fournissent des directives claires sur les actions à mener pour réduire les risques et les gérer efficacement en cas d’incident.
- Les informations relatives à la conformité
Les données de GRC comprennent des informations relatives aux audits, aux vérifications de conformité, aux rapports de conformité, ainsi qu’aux certifications et autorisations. Elles garantissent que l’entreprise atteint ses obligations relatives aux réglementations et normes applicables, et de fournir des preuves de conformité en cas d’audit de sécurité ou d’évaluation externe.
- Les indicateurs de performance
Les KPIs sont utilisés pour mesurer la performance de la sécurité, de la conformité et de la gestion des risques de l’entreprise. Ces métriques sont aussi bien quantitatives que qualitatives et permettent de suivre les progrès réalisés, d’identifier les lacunes et de faciliter la prise de décisions.
À toutes ces données, s’ajoutent, selon les contextes, les données télémétriques venant des solutions de cybersécurité (SIEM, EDR, firewalls…) et des plateformes Cloud.
Comment collecter les données ?
Les équipes de sécurité sont confrontées à un défi majeur lorsqu’il s’agit de rassembler et d’agréger les informations provenant de ces différentes sources afin de les traiter. La collecte des données dans un environnement aussi diversifié nécessite alors une approche méthodique qui combine à la fois des méthodes manuelles et automatisées.
La collecte manuelle de données est réalisée de manière collaborative en centralisant les contributions des différentes parties prenantes. Ainsi les contributeurs sont invités à fournir les données requises, telles que des métriques, des états d’avancement des actions, des preuves, des commentaires et des dérogations. Par exemple, cela peut inclure la mise à jour de Microsoft 365 sur les postes de travail ou la gestion des droits utilisateurs et des dérogations pour une période déterminée. Cette approche permet une participation active des acteurs concernés et favorise la collaboration au sein de l’organisation.
La collecte automatisée de données est quant à elle réalisée via des connexions entre des solutions de sécurité. Les informations récupérées sont transformées en indicateurs de performance afin d’évaluer l’efficience de la politique de sécurité ou d’identifier des constatations importantes, telles qu’un incident de sécurité, une non-conformité ou une vulnérabilité. De plus, une interconnexion avec des outils tels que les EDR, les firewalls et les solutions de productivité comme Microsoft 365 permet d’obtenir des informations supplémentaires pour enrichir la collecte de données.
En combinant ces deux approches, les équipes de sécurité peuvent relever le défi de la collecte des données dans un environnement complexe et hétérogène.
L’importance de la centralisation des données
Améliorer la productivité et l’efficacité opérationnelle
En tant que RSSI, vous savez à quel point il est chronophage de chercher et rassembler l’information dispersée. Car oui, les données sont partout comme le souligne Baptiste David, Product Evangelist chez Tenacy, « dans toutes les solutions opérationnelles de sécurité, dans des fichiers Excel et dans les cerveaux des personnes. » Non seulement vous recherchez l’information mais ensuite vous dépensez également beaucoup d’énergie pour la consigner dans les différents logiciels ou fichiers (dans le référentiel pour l’auditeur externe, dans celui pour le contrôle interne, ou bien encore celui pour l’ANSSI…). C’est cette surcharge de travail qui disparaît grâce à la centralisation des données de GRC.
L’information est consignée dans un seul et même endroit, ce qui vous permet de ne plus perdre de temps à (re)trouver la donnée recherchée. Vous répondez plus facilement et rapidement aux questions des auditeurs (lors de contrôle de conformité par exemple), des chefs de projet ou de votre direction. « Au même titre qu’un commercial va dans son CRM pour retrouver l’information sur un contact, un RSSI va dans Tenacy pour retrouver des données de cybersécurité. » conclut Baptiste David.
Cette optimisation de votre temps est précieuse et vous permet de déployer votre énergie sur d’autres projets de cybersécurité. La liste est longue comme l’énumère Baptiste David : « Vous avez plus de temps pour déployer des processus de sécurité que vous n’aviez pas pu réaliser jusqu’ici, mener plus de sensibilisation, avoir plus de temps avec les partenaires ou bien encore plus de discussion cyber avec votre direction. »
Améliorer la sécurité des données
Autre avantage et non des moindres, la centralisation des données permet d’élever le niveau de sécurité. Prenons l’exemple des plans d’actions. Lorsqu’ils sont centralisés dans une plateforme dédiée à la GRC, les informations deviennent disponibles, traçables et l’intégrité des données est garantie via une gestion de droits rigoureuse. Contrairement à l’accès à un plan d’actions écrit dans un fichier Excel et stocké dans un dossier partagé, qui ne permet pas de tracker les accès. Vous l’aurez compris, nous retrouvons ici les notions de l’analyse de risque DICP (disponibilité, intégrité, confidentialité et preuve).
Sortir de sa propre perception et avoir la bonne visibilité
Centraliser les données de GRC permet également d’avoir une vue plus objective de la sécurité de son entreprise et d’aller au-delà de ses croyances. En rassemblant les données de multiples sources, vous évitez (ou du moins réduisez fortement) les biais et distorsions subjectives. Pour Baptiste David, « connecter et récupérer les données, c’est donner de la visibilité, et donc sortir de sa propre perception avec des vraies métriques. »Plus votre visibilité est objective et globale, plus vous pouvez approfondir la compréhension de la performance en cybersécurité de votre organisation.
Avoir de la cohérence et aider à la prise de décision
En centralisant les indicateurs, la capacité d’analyse est décuplée et la prise de décision se retrouve facilitée et éclairée. Baptiste David insiste sur la notion de cohérence des données : « Comme toutes les données sont au même endroit, nous pouvons les lier entre elles ce qui permet d’obtenir de la cohérence. Ce n’est pas simplement pour obtenir un beau tableau de bord avec toutes les données, c’est aussi mettre en relation ces données. Par exemple de lier un niveau de risque avec un plan d’actions, de mettre en relation la saisie de données avec votre conformité, un taux de sensibilisation qui est relié à toutes les politiques de sécurité… ». Grâce à la centralisation dans une plateforme de GRC, la donnée est non seulement intégrée mais elle est modélisée pour lui donner toute sa valeur.
Conclusion
Centraliser les données de GRC est donc indispensable pour piloter efficacement sa cybersécurité : gain de temps, sécurisation des données, vision globale s’appuyant sur une consolidation des données… Autant d’éléments clés pour vous permettre de piloter et agir avec réactivité et efficacité sur la performance de la cybersécurité de votre entreprise.