Pour cela, il est nécessaire de savoir d’où vous partez, et de connaitre votre positionnement par rapport au marché. C’est avec cette conviction que Wavestone a construit son framework d’évaluation de maturité cybersécurité, qui capitalise aujourd’hui sur l’accompagnement de 100 organisations internationales.

Découvrez le fonctionnement du CyberBenchmark avec Anthony GUIEU, Manager Cybersécurité chez Wavestone.

Bonjour Anthony. Pour commencer, peux-tu présenter le CyberBenchmark en une phrase ?

Le CyberBenchmark est un outil complet qui permet aux entreprises d’évaluer leur niveau de cybersécurité, de se positionner par rapport au marché, et d’établir une feuille de route – grâce à un questionnaire et à une base de données de près de 100 clients dans le monde entier.

Pourquoi avoir créé le CyberBenchmark, alors qu’il existe déjà de nombreux frameworks sur le marché ?

Nous avons créé le CyberBenchmark car beaucoup de clients nous demandaient où ils se positionnaient par rapport au marché. Historiquement, nos clients recherchaient des évaluations en valeur absolue par rapport à des frameworks connus comme le NIST ou l’ISO. Aujourd’hui, ils souhaitent de plus en plus connaître leur position relative par rapport à leur écosystème. Notre CyberBenchmark permet de traiter ces deux approches simultanément.

Cela nous permet de sortir des angles d’attaque un peu différents : il y a des thématiques sur lesquelles nos clients ne sont pas matures par rapport au marché, donc ils peuvent progresser, et il faut prioriser ces actions-là. À l’inverse, il y a des thématiques où ils ne sont pas bons, mais le marché n’est, lui, pas mature ; il faut alors relativiser l’urgence du sujet. Des entreprises comme Gartner ou Forrester fournissent des tendances générales sur des grandes thématiques cyber, nous y ajoutons une vision concrète de nos observations sur le terrain, auprès de nos clients.

Quand nous avons construit le CyberBenchmark, nous avons vite réalisé que beaucoup de concurrents proposent leur version enrichie des questionnaires de cybersécurité. Notre vraie valeur ajoutée, c’est la comparaison avec le marché : près de 100 clients nous font confiance et ont été évalués avec ce cadre de référence à date !

Comment fonctionne le CyberBenchmark ?

Pour avoir un cadre cohérent, nous nous sommes basés sur des frameworks existants, c’est-à-dire les normes de sécurité qui font référence sur le marché : ISO 27001/2, NIST… C’était un point de départ obligé, car nos clients utilisent ces standards pour s’évaluer. Nous avons ensuite enrichi le questionnaire avec notre propre retour terrain, pour affiner les niveaux de maturité par thématique.

Une des valeurs ajoutées du CyberBenchmark : la granularité de l’évaluation, qui permet de mesurer précisément quelle part du périmètre atteint chaque palier de maturité. Concrètement, il est possible de répartir le niveau de maturité pour une question donnée entre les différents niveaux : par exemple 30% niveau 2, 60% niveau 3 et 10% niveau 4, ce qui peut être dû à un périmètre hétérogène, à des initiatives en cours… Cela nous permet de valoriser les projets au temps long et aux déploiements complexes sur plusieurs périmètres, en particulier dans les grands groupes, en matérialisant leur avancement.

Par la suite, chaque évaluation donne lieu à un rapport en deux parties :

• Une partie pour le top management avec les ratios budgétaires, ressources humaines et le niveau de maturité par rapport aux référentiels internationaux.
• Une partie pour les opérationnels de la sécurité avec les bonnes et mauvaises pratiques identifiées, ainsi que les actions à lancer en priorité. L’idée, c’est d’aboutir à des recommandations et des mesures concrètes pour augmenter le niveau de l’organisation.

Dans quels cas utiliser le CyberBenchmark ? 

Pour moi, c’est l’outil idéal pour une organisation qui souhaite identifier rapidement ses priorités en cybersécurité.

• Les premiers résultats sont rapides : en un mois, nous sommes en mesure de produire un livrable à présenter au Comité Exécutif, avec des propositions d’actions concrètes.
• C’est l’un des rares outils du marché à offrir une comparaison par rapport aux concurrents.
• A la différence des frameworks classiques, notre questionnaire traite à la fois de problématiques de gouvernance et opérationnelles.

Le CyberBenchmark a aussi l’avantage de se décliner pour tous les besoins et les budgets.

• L’approche « rapide » ne nécessite que quelques entretiens, et repose sur une évaluation déclarative pour rapidement détourer le niveau de maturité de l’entreprise et les projets à lancer.
• L’approche « complète » repose sur un audit approfondi, de plusieurs dizaines d’entretiens et une revue des preuves voire des tests techniques complémentaires (test d’intrusion, Red Team…)

Peux-tu donner un exemple d’utilisation concret du CyberBenchmark ?

Pour illustrer l’approche « rapide », nous l’avons utilisé récemment pour accompagner un grand groupe industriel qui voulait initier une démarche de sécurisation et interpeller son comité exécutif. Après 2 mois de travaux et 5 ateliers de travail, nous avons pu restituer une vision claire du niveau de cybersécurité de la structure et projeter un niveau cible à 3 ans, qui a été accepté par le Comité Exécutif.

En termes d’approche complète, nous avons accompagné ces derniers mois une banque britannique pour évaluer finement son niveau de conformité par rapport aux cadres de référence et sa posture générale en cybersécurité. Dans ce cadre, nous avons mobilisé une équipe de 10 consultants sur 3 pays différents pour réaliser plus de 50 ateliers, en collectant des preuves pour amener un retour concret et fiabilisé du niveau de sécurité tout en identifiant par rapport au marché les points sur lesquels ils devaient investir en priorité. Ces éléments sont également utilisés dans les échanges avec leurs principaux régulateurs.

Un mot pour la fin ?

Le CyberBenchmark de Wavestone fournit une vision large du niveau de maturité du marché, tout en entrant dans des sujets techniques très précis. C’est ce qui en fait un atout différenciant pour nos clients c’est qu’ils ont la capacité de se positionner face aux entreprises de leur secteur sur chacune de leurs thématiques. Les priorités en matière de cybersécurité ressortent alors clairement, ce qui permet de construire efficacement son budget cyber. Il s’agit d’un réel accélérateur de stratégie cyber, testé et approuvé par de nombreux clients !

Grâce aux données exclusives du CyberBenchmark, nous pouvons sortir des statistiques et des tendances très facilement : combien d’entreprises ont déployé un outil de sécurité (EDR, bastion, sondes…) et où en sont-elles sur le déploiement, qui est en avance sur le marché… Par exemple, d’après notre dernière étude sur la maturité des entreprises françaises, le niveau de maturité général sur notre référentiel basé sur les normes internationales (NIST CSF Framework et ISO 27001/2) est de… 46% en moyenne. Chaque année, nous formalisons notre connaissance du marché, et nous anticipons les tendances fortes par secteur et sujet technique.

Enfin, vous l’aurez compris, le CyberBenchmark vit et se développe au fur et à mesure qu’il est utilisé pour de nouvelles entreprises. Nous disposons aujourd’hui d’une base de près de 100 entreprises ce qui va nous permettre dès janvier d’ouvrir une nouvelle catégorie : « Luxury goods & retail », comportant plus d’une dizaine d’entreprises sur lesquelles nous pourrons affiner les analyses relatives à leur secteur d’activité.

Si vous êtes intéressés pour positionner votre organisation par rapport au marché, n’hésitez pas à me contacter ou à prendre contact avec nos experts : nous pourrons vous accompagner sereinement dans cette démarche.

Cet article Interview : Un mois pour évaluer votre posture en cybersécurité ! est apparu en premier sur RiskInsight.

Mais ces projets ne sont pas uniquement à l’initiative des RSSI ! Le lancement de tels projets peut également émaner de comités exécutifs, désirant une vision à 360° de la sécurité de leur organisation pour mieux évaluer le risque auquel ils sont confrontés.

Quels sont les facteurs clés de succès et qu’avons-nous observé sur le terrain ?

Etape 1 : savoir qui va être le destinataire de l’évaluation et quelles sont ses attentes

Les évaluations peuvent être d’un niveau de profondeur radicalement différent ! D’une interview haut niveau avec le RSSI d’une organisation à une évaluation en profondeur des mécanismes et processus sécurité de toutes les filières d’un groupe multinational, chacun peut mettre le curseur où il le désire et avancer pas-à-pas.

Notre premier conseil est de garder en tête les objectifs de votre évaluation : cela vous permettra de vous orienter vers les bons référentiels de cybersécurité (NIST, ISO 27001/2…) et surtout de définir avec cohérence la profondeur de l’évaluation. Voulez-vous uniquement mesurer le niveau de maturité de votre filière SSI ou également son efficacité ? Des processus sécurité parfaitement documentés et une certification ISO 27001 peuvent malheureusement masquer des problèmes de terrain qui vous exposent à des vulnérabilités… Il peut être judicieux de combiner un test technique (pentest, red team…) à l’évaluation pour éviter le piège des indicateurs pastèques !

Etape 2 : trouver et mobiliser les bons interlocuteurs au bon niveau, facile à dire…

La prochaine difficulté que vous pouvez rencontrer dans votre évaluation est de réussir à rencontrer les bons sachants. D’expérience, nous vous conseillons de confirmer et figer aussi tôt que possible la liste des interlocuteurs.

En toute logique, cette liste dépendra fortement de la granularité de l’analyse (figure ci-dessus) mais également de l’organisation de l’entreprise ! Par exemple, les interlocuteurs diffèrent si les effectifs sécurité sont au niveau groupe et fonctionnent comme un centre de service ou alors s’ils sont fondus dans chaque entité et service.

Ainsi, si vous désirez avoir dans un premier temps une estimation haut niveau, il peut suffire d’échanger pendant une demi-journée avec le RSSI, qui dispose généralement d’une vision globale et suffisante du sujet.

Le second stade d’analyse peut être atteint en recueillant des informations auprès de l’ensemble des acteurs cybersécurité (SOC, CSIRT…) à l’échelle du groupe. Dans cet ensemble, il peut être intéressant de rencontrer une grande partie des effectifs cybersécurité présents dans des équipes de la DSI (Cloud…).

Enfin, quand l’évaluation doit être poussée et exhaustive, il devient nécessaire d’élargir la liste des interlocuteurs à l’ensemble des entités concernées. Evidemment, il faut s’attendre à une charge de travail en aval d’autant plus grande, ne lésinez pas sur la préparation et l’utilisation d’outil pour vous en sortir ! C’est peut-être également le bon moment pour réfléchir au format de restitution : présentiel, distanciel, stratégique, opérationnel…

Etape 3 : L’outillage, trouver l’équilibre entre trop et pas assez

Place maintenant au choix des outils, un des principaux challenges de l’évaluation auquel vous devez faire face. Au plus elle sera complète, au plus elle nécessitera un outillage pour simplifier et assurer la cohérence de l’ensemble. En effet, pour les grandes évaluations, la consolidation et la restitution des résultats font partie des grandes difficultés rencontrées ! En particulier les principaux outils ne prennent pas en compte la complexité organisationnelle des grands groupes ou encore l’efficacité des moyens octroyés. C’est pour ces raisons que nous avons choisi de notre côté de développer un outillage particulier.

Un bon outil vous permettra également de vous positionner vis-à-vis de vos concurrents et de comprendre votre exposition aux tendances d’attaques actuelles, des points auxquels votre COMEX est particulièrement sensible et vous permettant de légitimer l’évaluation.

C’est parti, c’est l’heure de mettre les mains dans le cambouis pour démarrer la collecte des informations ! En définitive, une phase assez classique, en totalité faisable à distance, ce qui est utile dans la situation actuelle. Soyez conscient et transparent sur les limites de l’exercice : les personnes questionnées auront parfois l’impression que l’évaluation est trop théorique et c’est normal, suivant ses objectifs. Durant cette phase, il faudra également savoir jongler entre les différents imprévus car il n’est pas rare d’avoir des interlocuteurs finalement absents pendant de longues durées, des périmètres ajoutés, des changements de méthodologie … Mettons un point d’honneur à rester agile.

Etape 4 : restituer au bon niveau pour agir, tout est une question de vue !

La bonne habitude à garder, est de franchement adapter chaque support de restitution à chaque personne. Entre les synthèses managériales où on parlera sans trop de détail des tendances, de ce qui va bien, ce qui ne va pas bien et c’est tout, et de l’autre côté les présentations pour les équipes techniques où il ne faudra pas lésiner sur la description des risques de compromission, adapter le discours est donc l’enjeu essentiel pour réussir à faire passer les bons messages.

Usuellement, nous démarrons la restitution par le positionnement de l’organisation évaluée sur l’angle du budget et des effectifs dédiés à la cybersécurité. Ces points très concrets permettent d’attirer l’attention et de pouvoir ensuite analyser la situation selon 4 vues différentes :

• Conformité globale par rapport aux référentiels de cybersécurité (ISO/NIST)
• Evaluation du niveau de maturité des différentes entités évaluées comparé à celui du secteur et du marché
• Quantification de l’effort à fournir sur chacune des thématiques pour atteindre le niveau du marché et/ou le niveau demandé par les référentiels de cybersécurités
• Evaluation du niveau de robustesse de l’organisation face aux dernières cyberattaques connues.

La restitution va souvent se focaliser avec la direction générale sur des sujets d’organisation et de gouvernance. Toutefois, il arrive d’avoir de sacrées surprises ! Dans des contextes d’entreprises déjà touchées par de violentes cyberattaques, nous avons déjà eu des questions étonnamment précises et techniques par des membres du COMEX, demandant par exemple « Comment est sécurisé mon Active Directory ? » ou des précisions sur les algorithmes de chiffrement… Assez étonnant !

Lancez-vous

Comme mentionné plus tôt, l’évaluation de maturité est un formidable moyen pour mesurer l’efficacité et l’avancement de votre roadmap cybersécurité ! Ainsi, même si vous ne voulez pas tout de suite franchir le cap d’une évaluation impliquant tous les éléments SSI de votre entreprise et sollicitant des dizaines d’équipe, nous vous conseillons de vous familiariser avec l’approche et son utilité en démarrant sur un périmètre et une profondeur plus modeste !

Chez Wavestone, fort de ces différents retours d’expérience, nous avons construit le W-Cyber-Benchmark, remplissant ces usages et contenant déjà l’évaluation de plusieurs dizaines de clients. On comprend que vous ne croyez pas sur parole, alors n’hésitez pas à nous contacter pour en discuter !

Cet article Comment évaluer efficacement sa maturité en cybersécurité ? est apparu en premier sur RiskInsight.