Les activités de gouvernance, de gestion des risques et de conformité au sein des entreprises ne cessent d’évoluer et de générer une variété d’informations issues de sources toutes aussi diverses. Cette multiplicité de données de GRC (Gouvernance, Risque, Conformité) pose alors un défi majeur aux équipes de sécurité en matière de collecte et d’analyse – ce qui nécessite une approche de centralisation pour en faciliter la gestion.

Mais de quelles données et flux s’agit-il réellement ? Et en quoi la centralisation de ces données représente-t-elle la réponse adaptée ? Revenons sur la diversité des données et les avantages de la centralisation pour le RSSI et ses équipes.

 

Une diversité de données et de flux à centraliser

 

Les types de données GRC à collecter

La complexité inhérente aux activités de gouvernance, de gestion des risques et de conformité, génère une multiplicité de données. Mais d’où proviennent-elles précisément ?

  • Les politiques de sécurité de l’entreprise

Exigences de conformité, réglementations applicables à l’entreprise et à son secteur d’activité, lois, normes… Toutes ces politiques de sécurité constituent une source essentielle de données GRC. Elles définissent les règles et les directives d’accès aux ressources, la gestion des mots de passe, ou encore la sécurité des réseaux.

Les données qui en découlent permettent de :

  • surveiller la conformité aux normes de sécurité ;
  • détecter les écarts éventuels ;
  • prendre les mesures nécessaires pour renforcer la posture de cybersécurité de l’entreprise. 

 

  • Les informations sur les risques

Vous le savez, chaque entreprise est exposée à des risques cyber potentiels dans différents domaines : attaques de phishing, vulnérabilités logicielles sur des installations industrielles, demandes de rançon, fraudes sur les moyens de paiement…

Ces risques peuvent être liés à la sécurité de l’information, à la continuité d’activité, à la conformité, mais aussi à des risques opérationnels, financiers ou bien encore relatifs à la réputation de l’entreprise. Les données collectées dans ce contexte permettent d’identifier, d’évaluer et de gérer ces risques de manière proactive.

 

  • Les plans d’action liés à la gestion des risques

Les plans d’action détaillent des mesures spécifiques à prendre pour atténuer les risques identifiés. Contrôle de sécurité, plan de continuité d’activité (PCA), plan de reprise d’activité (PRA), plans de réponse aux incidents… Autant de données qui fournissent des directives claires sur les actions à mener pour réduire les risques et les gérer efficacement en cas d’incident.

 

  • Les informations relatives à la conformité

Les données de GRC comprennent des informations relatives aux audits, aux vérifications de conformité, aux rapports de conformité, ainsi qu’aux certifications et autorisations. Elles garantissent que l’entreprise respecte ses obligations relatives aux réglementations et normes applicables, et permettent de fournir des preuves de conformité en cas d’audit de sécurité ou d’évaluation externe.

 

  • Les indicateurs de performance

Les KPI sont utilisés pour mesurer la performance de la sécurité, de la conformité et de la gestion des risques de l’entreprise. Ces métriques, aussi bien quantitatives que qualitatives, permettent de suivre les progrès réalisés, d’identifier les lacunes et de faciliter la prise de décision.

À toutes ces données s’ajoutent, selon les contextes, les données télémétriques venant des solutions  de cybersécurité (SIEM, EDR, firewalls…) et des plateformes Cloud. 

 

Comment collecter les données ?

Les équipes de sécurité sont confrontées à un défi majeur : rassembler et agréger toutes les informations provenant de ces différentes sources afin de les traiter. La collecte des données dans un environnement aussi diversifié nécessite alors une approche structurée, qui combine méthodes manuelles et automatisées. 

La collecte manuelle de données est réalisée de manière collaborative, en centralisant les contributions des différentes parties prenantes. Les contributeurs sont ainsi invités à fournir les données requises, telles que des métriques, des états d’avancement des actions, des preuves, des commentaires et des dérogations. Cela peut inclure aussi bien la mise à jour de Microsoft 365 sur les postes de travail que la gestion des droits utilisateurs et des dérogations pour une période déterminée. Cette approche permet une participation active des acteurs concernés et favorise la collaboration au sein de l’organisation

La collecte automatisée de données est quant à elle réalisée via des connexions entre diverses solutions de sécurité. Les informations récupérées sont transformées en indicateurs de performance afin d’évaluer l’efficience de la politique de sécurité ou d’identifier des constatations importantes, telles qu’un incident de sécurité, une non-conformité ou une vulnérabilité. De plus, une interconnexion avec des outils tels que les EDR, les firewalls et les solutions de productivité comme Microsoft 365 permet d’obtenir des informations supplémentaires pour enrichir la collecte de données. 

En combinant ces deux approches, les équipes de sécurité peuvent relever le défi de la collecte des données dans un environnement complexe et hétérogène. 

 

L’importance de la centralisation des données

 

Améliorer la productivité et l’efficacité opérationnelle

En tant que RSSI, vous savez à quel point il est chronophage de chercher et rassembler l’information dispersée. Car oui, les données sont partout, comme le souligne Baptiste David, Product Evangelist chez Tenacy : « dans toutes les solutions opérationnelles de sécurité, dans des fichiers Excel et dans les cerveaux des personnes. »

Vous dépensez de l’énergie, non seulement pour rechercher des informations, mais aussi pour la consigner dans les différents logiciels ou fichiers (dans le référentiel pour l’auditeur externe, dans celui pour le contrôle interne, ou bien encore celui pour l’ANSSI…). C’est cette surcharge de travail qui disparaît grâce à la centralisation des données de GRC.

L’information est consignée dans un seul et même endroit, ce qui vous permet de ne plus perdre de temps à (re)trouver la donnée recherchée. Vous répondez plus facilement et rapidement aux questions des auditeurs (lors de contrôle de conformité par exemple), des chefs de projet ou de votre direction. « Au même titre qu’un commercial va dans son CRM pour retrouver l’information sur un contact, un RSSI va dans Tenacy pour retrouver des données de cybersécurité. », conclut Baptiste David.

Cette optimisation de votre temps est précieuse et vous permet de déployer votre énergie sur d’autres projets de cybersécurité. Comme l’explique Baptiste David, « vous avez plus de temps pour déployer des processus de sécurité que vous n’aviez pas pu réaliser jusqu’ici, mener plus de sensibilisation, avoir plus de temps avec les partenaires ou bien encore plus de discussions cyber avec votre direction. »

 

Améliorer la sécurité des données

Autre avantage – et non des moindres –, la centralisation des données permet d’élever le niveau de sécurité.

Prenons l’exemple des plans d’actions. Lorsqu’ils sont centralisés dans une plateforme dédiée à la GRC, les informations deviennent disponibles, traçables et l’intégrité des données est garantie via une gestion de droits rigoureuse. Contrairement à l’accès à un plan d’actions écrit dans un fichier Excel et stocké dans un dossier partagé, qui ne permet pas de tracker les accès. Vous l’aurez compris, nous retrouvons ici les notions de l’analyse de risque DICP (disponibilité, intégrité, confidentialité et preuve). 

 

Sortir de sa propre perception et avoir la bonne visibilité

Centraliser les données de GRC permet également d’avoir une vue plus objective de la sécurité de son entreprise et d’aller au-delà de ses croyances. En rassemblant les données de multiples sources, vous évitez (ou du moins réduisez fortement) les biais et distorsions subjectives.

Pour Baptiste David, « connecter et récupérer les données, c’est donner de la visibilité, et donc sortir de sa propre perception avec des vraies métriques ». Plus votre visibilité est objective et globale, plus vous pouvez approfondir la compréhension de la performance en cybersécurité de votre organisation. 

 

Gagner en cohérence et aider à la prise de décision

En centralisant les indicateurs, la capacité d’analyse est décuplée et la prise de décision se retrouve facilitée et éclairée.

Baptiste David insiste sur la notion de cohérence des données : « Comme toutes les données sont au même endroit, nous pouvons les lier entre elles, ce qui permet d’obtenir de la cohérence. Ce n’est pas simplement pour obtenir un beau tableau de bord avec toutes les données, c’est aussi mettre en relation ces données. Par exemple de lier un niveau de risque avec un plan d’actions, de mettre en relation la saisie de données avec votre conformité, un taux de sensibilisation qui est relié à toutes les politiques de sécurité… ».

Grâce à la centralisation dans une plateforme de GRC, la donnée est non seulement intégrée, mais également modélisée, pour lui donner toute sa valeur.

 

LE MOT DE LA FIN

Centraliser les données de GRC est donc indispensable pour piloter efficacement sa cybersécurité : gain de temps, sécurisation des données, vision globale s’appuyant sur une consolidation des données… Autant d’éléments clés pour vous permettre de piloter et d’agir avec réactivité et efficacité sur la performance de la cybersécurité de votre entreprise.