Recommandé pour vous
Le parcours de chaque entreprise pour devenir plus sûre est unique. Les facteurs susceptibles d'avoir une incidence sur votre profil de sécurité cible comprennent le risque opérationnel, les flux de travail opérationnels uniques, les politiques, les procédures, la tolérance au risque, etc.
Malheureusement, le risque zéro n'existe pas. L'objectif est d'atteindre un niveau de risque acceptable en fonction de vos propres environnements de fonctionnement.
Le parcours pour améliorer votre force de sécurité du réseau, ou niveau, peut sembler complexe, et pour cause. Compte tenu de la diversité des méthodologies, des normes industrielles et des technologies disponibles sur le marché, la voie à suivre n'est pas toujours évidente. Vous vous vous demander peut-être : « Par où commencer ? »
L'une des façons de commencer ce parcours est d'utiliser les évaluations de la sécurité. Dans sa forme la plus basique, une évaluation de la sécurité est une mesure structurée du niveau de sécurité d'un système ou d'une entreprise.
Exploitée à bon escient, l'évaluation peut être une méthode extrêmement efficace pour diagnostiquer le niveau actuel de la sécurité, les écarts entre le niveau actuel et le niveau idéal, ainsi que les démarches claires à entreprendre pour parvenir à vos objectifs en matière de sécurité.
Types d'évaluations
La phrase « évaluation de la sécurité » peut signifier plusieurs choses. Il est donc important de bien définir la portée de l'évaluation en fonction de l'intention de l'initiative. Les types d'évaluation les plus courants peuvent chacun donner des résultats différents qui auront une incidence sur les mesures que vous prenez dans votre programme de sécurité.
- Évaluation de la vulnérabilité : Identifie les vulnérabilités connues présentes dans un environnement, dans le but de mettre en place un plan d'action pour y remédier.
- Analyse de l'écart : identifie l'écart entre le niveau actuel et le niveau idéal de sécurité d'une entreprise. Les analyses des écarts tiennent généralement compte d'une norme d'entreprise ou industrielle et visent à définir clairement les étapes nécessaires pour atteindre le niveau de sécurité souhaité.
- Évaluation des risques : fournit une vue plus globale du niveau de sécurité d'une entreprise. Une évaluation des risques combine des éléments d'une évaluation des vulnérabilités et d'une évaluation des écarts pour identifier et évaluer les risques connus par rapport à la tolérance au risque de l'entreprise et à son état idéal de sécurité.
- Vérification de la sécurité : ce service basé sur l'évaluation vérifie le niveau et les pratiques de sécurité d'une entreprise par rapport à une norme industrielle donnée ou à un organisme d'exigences, généralement pour aider à assurer la conformité, comme les normes CIP de la NERC ou autres.
Gardez à l'esprit que si les types d'évaluations de la sécurité ci-dessus sont courants, il est important de commencer par comprendre l'objectif visé avant de faire un choix. Cela sera essentiel pour s'assurer que les attentes adéquates sont à la fois alignées et satisfaites, et que l'évaluation la plus efficace est sélectionnée pour développer votre programme de cybersécurité.
Soyez réaliste
Lorsque vous réfléchissez au type d'évaluation qui convient à votre entreprise, n'oubliez pas qu'une évaluation est un échantillon d'un moment donné. Elle ne doit pas être considérée comme la seule solution au programme de sécurité d'une entreprise. Il s'agit plutôt d'un contrôle régulier visant à confirmer que l'entretien, la gestion et les contrôles techniques sont adaptés à la tolérance au risque prévue.
Si vous disposez de budgets restreints et de ressources limitées et que vous ne pouvez pas effectuer une évaluation dans l'ensemble de l'entreprise, vous pouvez opter pour l'approche de « l'échantillon représentatif », qui réduit la portée de l'évaluation à une partie de votre entreprise qui servira de base de référence.
Regroupez tout
Les évaluations de la sécurité peuvent être des outils efficaces pour évaluer votre niveau actuel de sécurité, mais elles doivent être correctement sélectionnées, évaluées et accompagnées d'une feuille de route définissant des étapes claires et réalisables pour atteindre votre profil idéal de sécurité. Le bon fournisseur peut vous aider à effectuer des évaluations et à élaborer un programme de sécurité robuste.
Publié 29 avril 2019