Gestion du risque cyber : une question de méthodes
Si l’adoption de EBIOS RM semble s’être imposée en France, d’autres méthodes de gestion du risque cyber sont aussi présentes sur un secteur où l’innovation est forte. Regards croisés de Neverhack Consulting, ServiceNow, Egerie et All4Tec.
Julie Grassin – Directrice de Neverhack Consulting
« Le premier point qui doit être pris en compte dans le choix d’une solution doit être de définir les objectifs à atteindre.
Ce choix doit s’opérer en fonction de la taille de l’organisation, du volume de risques à analyser et d’analyse de risque à mener, mais aussi des exigences réglementaires auxquelles elle est soumise.
Ensuite, l’entreprise doit trouver un outil pour réaliser ses analyses de risque. Cela permet d’avoir un cadre et d’homogénéiser la méthodologie, notamment autour de EBIOS RM avec des solutions qui implémentent la méthode. Un deuxième niveau porte sur le suivi des risques à l’échelle de l’entreprise, notamment le suivi des tierces parties, de la conformité, le suivi des risques IT.
Actuellement, les grands comptes sont encore très peu outillés sur le volet » Analyse de risque ». On trouve encore énormément d’Excel pour réaliser ces analyses de risque, même dans des entreprises qui réalisent plusieurs centaines d’analyses de risque par an. En revanche, pratiquement toutes disposent d’un outil de gestion du risque transverse. »
Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !
Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme : des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).
Inscrivez-vous gratuitement ici
Véronique Riccobene Mira – Directrice de l’avant-vente chez ServiceNow
« Il faut passer d’une approche d’évitement où l’on met en place un ensemble de moyens de détection des cyberattaques et où on réagit lorsque celle-ci survient, à une approche de résilience.
Il s’agit de détecter et anticiper les vulnérabilités. Cela implique de prendre du recul, d’analyser les vulnérabilités potentielles et mettre en place une gestion complète de la continuité.
Il y a un besoin d’une vision globale pour avoir les enjeux de conformité, les enjeux de résilience, de cybersécurité, et tous les risques opérationnels. Cela implique que l’IT, les équipes sécurité et les métiers à travailler ensemble. S’appuyer sur une plateforme permet d’obtenir une transversalité, une capacité à casser les silos de données tout en respectant les silos organisationnels. »
Jean Larroumets – Cofondateur et PDG d’Egerie
« Les plans d’actions techniques vont parler aux experts cyber, aux DSI, mais ne permettent pas aux boards de prendre des décisions éclairées. Or ceux qui doivent débloquer les budgets doivent avoir conscience de la nécessité de le faire.
Notre approche est de rapprocher ces deux mondes, avec une approche Bottom-Up : industrialiser le process Security by Design en partant d’un jumeau numérique du futur système pour arbitrer les risques, choisir les meilleures pratiques de sécurité, intégrer les pratiques existantes.
Il s’agit ensuite de rapprocher cette mesure à ce l’on va présenter à la direction générale, avec une quantification des risques macroscopiques. La force de notre plateforme est de relier les risques techniques aux risques quantifiés. »
Laurent Cosson – PDG d’All4tec
« L’adoption d’EBIOS RM a démarré en 2019/2020 uniquement auprès des grands comptes du secteur de la défense, mais aujourd’hui tous les secteurs l’ont adopté.
Cela ne veut pas dire que 100% des entreprises en font, mais tous les secteurs y vont. NIS 2 va certainement accélérer énormément cette adoption, car NIS 1 avait obligé les OSE (Opérateurs de Services Essentiels) a mené des analyses de risque.
Avec NIS 2, le nombre d’entreprises concernées va être multiplié par 20. De marché d’experts, le Risk Management va revenir un marché de masse.
Une particularité d’EBIOS RM est d’être un outil collaboratif : l’outil doit se partager et être le support à un travail collaboratif. Une personne doit maîtriser l’outil pour saisir les données, mais derrière elle, c’est le collectif qui va permettre de mener des discussions contradictoires sur les risques identifiés et les positionner sur une échelle de gravité. »
Sur le même thème
Voir tous les articles Cybersécurité