Indépendamment de ce que nombre d’entre nous peuvent dire ou écrire, le programme de cybersécurité reste dominé par les produits et la technologie.

Bien entendu, le problème a une dimension technique et la protection de toute entreprise contre les cybermenaces nécessitera l’application de contre-mesures techniques à plusieurs niveaux.

Mais il existe d’innombrables fournisseurs de technologies et fournisseurs de services qui essaient de vendre leurs produits comme la solution miracle qui vous protégera de tout. Et d’innombrables petites entreprises ont toujours une vision simpliste des cybermenaces: «Nous allons bien; toutes nos données sont dans le cloud »

Pour toute organisation dépassant une certaine taille, une protection efficace et efficiente ne peut résulter que de l’application en couches de mesures de protection au niveau des personnes, des processus et de la technologie. Et dans cet ordre.

Il faut commencer par les gens. Et cela ne veut pas dire déployer un programme de sensibilisation à la sécurité. Le middle management a toujours eu tendance à sauter directement dans l’espace de la solution à la suite d’une analyse simpliste du problème, mais au cœur des aspects «people» de toute stratégie de sécurité, les questions de culture d’entreprise et de gouvernance d’entreprise.

La «bonne gouvernance de la sécurité» n’est pas un jargon de consultant inutile. C’est une couche protectrice essentielle pour toute organisation.

Il garantit une approbation visible des valeurs de sécurité de haut en bas, clarifie les rôles, les responsabilités et les responsabilités en matière de sécurité dans l’ensemble de l’organisation, et plus important encore, c’est la pierre angulaire qui consiste à «faire avancer les choses» en matière de sécurité grâce à une couche efficace et efficiente de rapports.

Seule l’exécution effective des mesures de sécurité (c’est-à-dire le déploiement effectif des processus de sécurité et la technologie requise pour les soutenir) protégera l’entreprise. Et c’est là que de nombreuses organisations, de plus en plus petites, ont échoué au cours des dernières décennies en dépit d’investissements colossaux dans la cybersécurité: les projets de sécurité ne sont plus prioritaires à mi-chemin ou se concentrent uniquement sur des fruits à portée de main inexistants; au fil du temps, les gens se démotivent et partent, rien n’est fini et les «solutions» à moitié cuites prolifèrent: selon une récente enquête de Cisco, l’organisation moyenne utilise désormais 20 technologies de sécurité différentes.

Soyons clairs: il s’agit d’un échec flagrant de la gouvernance et cela a affecté les organisations – grandes et petites – en matière de sécurité pendant la meilleure partie des deux dernières décennies.

Pour éviter ces erreurs, briser cette spirale et cibler les obstacles de gestion et de gouvernance qui ont empêché les progrès dans le passé, la plupart des organisations doivent agir à trois niveaux:

Première, avoir une bonne compréhension de votre posture de maturité en matière de sécurité pour commencer et fixer des délais réalistes autour du changement. Le changement prend «le temps qu’il faut» et il n’y a peut-être pas de gains rapides.

Ensuite, être objectif sur les compétences et les ressources dont vous disposez pour apporter le changement et fixez des objectifs d’amélioration réalistes. Passer directement à des solutions inefficaces de «CISO virtuel» dans l’espoir de faire disparaître le problème n’aidera pas si personne n’est là pour l’exécuter.

Finalement, reste concentrée. La transformation de la sécurité implique souvent un changement d’état d’esprit qui a besoin de stabilité pour se développer et qui prend du temps à s’installer. Changer de direction ou de priorité chaque fois que quelque chose se produit dans l’entreprise ou ailleurs tuera tout simplement l’élan de transformation autour de la sécurité.

Publié à l’origine ici.