Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les 12 règles d’or pour la gestion de projets en cybersécurité

mars 2021 par Kumar MSSRRM, Vice Président adjoint en charge de la Distribution Cybersécurité, Infosys

La cybersécurité est un domaine avec de fortes composantes technologiques. La gestion des projets et des programmes est essentielle à la bonne réussite de ces dits projets. Cependant, les outils de gestion de projet habituels doivent être ajustés au domaine de la cybersécurité, qui comporte intrinsèquement des exigences différentes, complexe par nature et qui implique des processus systématiques. L’outil de gestion de cybersécurité va traiter de tous les aspects des opérations d’une entreprise, depuis la cartographie et le recrutement de professionnels de la sécurité qualifiés jusqu’à la gestion des risques émanant des fournisseurs. Il s’agit de protéger et de sécuriser les systèmes informatiques, les réseaux et les données contre le vol ou les dommages, et d’assurer la continuité des activités de l’entreprise. Un chef de projet cybersécurité doit généralement superviser de nombreuses tâches ponctuelles et récurrentes en matière de cybersécurité tout en s’acquittant de ses responsabilités et priorités quotidiennes.

Un bon cadre de gestion de projet garantira que les projets soient menés à bien sans dépassement budgétaire et dans les délais impartis. Pour qu’un programme de gestion de projet soit couronné de succès, il est important de définir les rôles et les responsabilités, un plan d’action détaillé et les étapes à franchir.

Si la plupart des pratiques standard de gestion de projet sont valables pour les programmes de cybersécurité, il existe quelques aspects spécifiques à la cybersécurité qui doivent être traités avec une diligence absolue et une stricte adhésion. Voici 12 règles d’or pour les responsables de la cybersécurité.

1. Inclusion maximale dans le champ d’application : pour la plupart des contrats, l’accent est mis sur la définition des éléments "hors champ", quel que soit le type de projet. En matière de cybersécurité, l’inclusion dans le champ d’application est plus importante car les contrôles doivent être appliqués sur 100 % du domaine. Il ne peut jamais y avoir de sécurité partielle. Si un serveur critique est exclu, cela peut conduire à une grave brèche de sécurité.

2. Définir le point de départ : il est essentiel de définir la position de base en matière de sécurité (l’état actuel de la sécurité). Elle permet de comprendre et d’évaluer l’exposition actuelle d’une entreprise à différentes menaces et de concevoir les contrôles appropriés pour minimiser les risques. L’état de sécurité à atteindre doit être conçu en collaboration avec toutes les parties prenantes, puis les initiatives doivent être classées par ordre de priorité pour renforcer la maturité de la sécurité.

3. Secure by Design : elle présente deux facettes. La première consiste à créer une culture du "Secure by Design" dans toute l’organisation. Un SDLC sécurisé doit être obligatoirement adopté, et il est impératif que les dirigeants et les organisations l’imposent dans tous les programmes informatiques en cours. La seconde consiste à identifier toutes les vulnérabilités existantes, y compris celles qui sont en cours de correction, et à les corriger avec diligence afin que rien ne soit laissé à découvert.

4. Cyberdurcissement : Toute migration d’une application existante vers le numérique ajoute une nouvelle complexité. Si les vulnérabilités sont héritées des applications existantes, ils doivent être renforcés par la cybersécurité.

5. Les talents formés à la cybersécurité sont essentiels pour la réussite de ces projets. Leurs compétences sont très demandées. Les organisations doivent disposer d’un processus bien défini pour affiner les compétences de leurs employés en matière de cybersécurité. En outre, les responsables veilleront à ce que les directives, les manuels, les cas d’utilisation, etc. soient bien mis en pratique par leurs équipes.

6. Une matrice RACI (Responsible, Accountable, Consulted and Informed) bien définie : il est crucial que les programmes de gestion de projet intègrent une matrice RACI détaillée pour éliminer toute ambiguïté et obtenir des résultats précis.

7. Tenue d’un registre des risques : Cet outil est fondamental pour les responsables en cybersécurité. Le fait d’indiquer clairement les risques permettra de les mettre en évidence et de les atténuer en collaboration. Il s’agit d’un document évolutif qui doit être utilisé et tenu à jour à tout moment.

8. Risques de la chaîne d’approvisionnement : Bien que ce soit une tâche difficile, les organisations doivent convaincre et s’assurer que leurs fournisseurs et partenaires investissent dans des programmes de sécurité définis et solides.

9. Cyber métriques : Il existe de multiples mesures définies dans le domaine de la cybersécurité. L’identification des bons indicateurs, la création d’un processus de mesure, analyser et mettre en œuvre les améliorations peuvent être facilement mis en place et sont les clés de la réussite de tout programme.

10. L’innovation : Il existe de nombreuses plateformes ainsi que des technologies avancées telles que l’automatisation, l’AI/ML/apprentissage approfondi/science des données, les innovations de produits et le Kanban.

11. « Chapeaux blancs » : C’est une bonne stratégie que d’investir dans l’exercice "Red Teaming" ou "Penetration Testing" pour découvrir des mines cachées. Il n’y aura peut-être pas de retour sur investissement direct, mais même si une attaque potentielle est évitée, le retour sur investissement est énorme. Les responsables de la cybersécurité doivent avoir les connaissances et les nuances de ce domaine pour être en mesure de gérer efficacement les projets.

12. Sensibilisation à la sécurité : Malgré tous les contrôles technologiques avancés, l’humain est toujours le maillon le plus faible de la chaîne cybernétique. Investir dans de fréquentes campagnes "anti-phishing" et des formations de sensibilisation axées sur les personnes est une nécessité absolue.

Les cyber-attaques augmentant de manière exponentielle et les organisations investissant massivement dans les contrôles de sécurité, il est essentiel que les programmes de cybersécurité soient gérés de manière stratégique et efficace pour maximiser le retour sur investissement, minimiser les risques




Voir les articles précédents

    

Voir les articles suivants