La cybersécurité est l’affaire de tous

Les cyber-risques ne peuvent pas être combattus par le seul département informatique, surtout s’il est sollicité en dehors des initiatives de cyber-sécurité. De même, une technologie qui ne sert qu’un seul objectif peut faire plus de mal que de bien. La technologie de gestion des risques s’appliquant aux risques à l’échelle de l’entreprise, elle peut servir de solution à l’échelle de l’entreprise, même si les défis commerciaux à relever, comme ceux de l’informatique, ne relèvent pas nécessairement du domaine traditionnel de la gestion des risques. Les préoccupations croissantes en matière de cybersécurité obligent les services informatiques à travailler plus dur que jamais. Par exemple, les ransomwares (logiciels malveillants qui brouillent les données et exigent une rançon pour les décoder) ont augmenté de 6 000 % en 2016, selon une étude d’IBM. étude IBM publiée à la fin de l’année dernière.

Ces statistiques mettent en évidence un véritable fardeau pour des services informatiques déjà surchargés. Non seulement ils sont occupés à lutter contre les virus, les pirates, les ransomwares et autres, mais ils doivent aussi assumer les responsabilités quotidiennes qui ont toujours incombé aux services informatiques.

Au cours du troisième trimestre 2017, l’Association nationale des commissaires d’assurance a adopté la loi type sur la sécurité des données d’assurance. La loi type, qui n’est pas juridiquement contraignante comme une loi promulguée, sert de « cadre à partir duquel les régulateurs d’assurance de chaque État peuvent créer leurs propres règles de cybersécurité », selon l’article de Property and Casualty 360, « 5 choses que vous devriez savoir sur la nouvelle loi type de la NAIC sur la sécurité des données. » Selon Property Casualty 360, les cinq choses que tout le monde devrait savoir à propos de la loi modèle sont les suivantes :

  1. Le paysage des cyber-risques évolue.
  2. Les exigences de l’État de New York en matière de cybersécurité pour les sociétés financières ont influencé la loi type de la NAIC.
  3. La loi type de la NAIC est différente d’une loi promulguée.
  4. Les compagnies d’assurance devraient adopter des pratiques spécifiques en matière de cybersécurité.
  5. Les conseils d’administration des entreprises sont censés prendre l’initiative en matière de cybersécurité.

Si vous cherchez à améliorer l’efficacité de votre propre service de gestion des risques ou d’autres services connexes, notamment en investissant dans des logiciels ou des technologies, vous devriez peut-être réfléchir à la manière dont un tel investissement pourrait aider vos informaticiens surchargés de travail, tant du point de vue de la sécurité que de l’efficacité, et leur expliquer comment procéder.

En d’autres termes, aidez-les à vous aider.

Comment relever 3 grands défis informatiques

La cybersécurité étant l’un des principaux risques pour les organisations aujourd’hui, la technologie de gestion intégrée des risques est un outil naturel pour aider à la combattre, même si elle ne s’adresse pas directement aux utilisateurs de l’informatique. Voici trois défis informatiques que la technologie de gestion intégrée des risques peut aider à résoudre :

1. La sécurité

Nous savons déjà que la protection des données de l’entreprise est devenue un rôle essentiel de l’administration centrale. les départements informatiques. Par conséquent, ils veulent des solutions qui sécurité de bout en bout. The right risk management technology will automatically include the following controls, (just to name a few):

  • Politiques de mot de passe pouvant être définies en fonction des normes du client, notamment en ce qui concerne les délais, la longueur et la force du mot de passe.
  • Rôles de sécurité définis/assignés par le client pour les utilisateurs – jusqu’au niveau des champs – afin d’empêcher l’accès non autorisé à toute partie de votre système, y compris les objets, les rapports, les mises en page et les vues, ainsi que des champs spécifiques.
  • Protection des serveurs dans des centres de données de premier plan avec des contrôles d’accès physiques adéquats
  • Pare-feu avec des périmètres étroitement contrôlés, des systèmes de détection d’intrusion et une surveillance proactive des journaux.
  • Services de validation par des tiers qui attestent de la nature sécurisée du logiciel

2. Conformité

Conformité informatique est un ensemble d’activités spécialisées visant à garantir qu’une organisation répond aux exigences des obligations contractuelles et des réglementations informatiques imposées par le gouvernement pour la protection des données et des processus. Si cette fonction n’est pas remplie de manière adéquate, des amendes substantielles et des pénalités contractuelles peuvent être imposées, ainsi qu’une perte d’activité.

Pour permettre à votre service informatique de se concentrer sur les initiatives en matière de cybersécurité, il faut bien sûr une technologie sécurisée conforme aux normes les plus strictes. normes les plus strictes imposées par les organismes internes et réglementaires.

Cependant, vous pouvez renforcer la mission essentielle de votre service informatique, qui est de protéger l’environnement numérique de votre organisation, en lui présentant des solutions qui le rendent plus efficace, libérant ainsi les professionnels pour qu’ils se concentrent davantage sur la cybersécurité et moins sur les maux de tête administratifs associés à la gestion des risques de conformité.

Voici quelques caractéristiques de la technologie de gestion des risques que les services informatiques pourraient apprécier : une piste d’audit complète de toutes les activités de conformité, y compris les attestations; un registre des actifs unistre illimité des actifs avec des relations permettant de définir l’emplacement, la possession, la configuration, le logiciel, etc. ; des solutions entièrement configurables en fonction des exigences de votre organisation ; et des rapports permettant d’identifier rapidement toutes les instances de n’importe quel type d’actif.

3. Surcharge de l’application

Tout comme Les départements informatiques ne manquent pas de défis, mais ils ne manquent pas non plus d’applications technologiques qu’ils doivent maintenir. En fait, ils sont souvent ralentis par la prolifération des applications sur lesquelles leurs entreprises fonctionnent aujourd’hui.

Les services informatiques passent énormément de temps à mettre à jour ou à modifier les applications de leur organisation afin de les faire fonctionner, et encore moins de les faire fonctionner ensemble pour en tirer le maximum d’avantages.

C’est pourquoi l’investissement dans des solutions capables de consolider ou de réduire le nombre d’applications utilisées, en particulier sur les serveurs internes, peut générer des gains d’efficacité considérables pour le département informatique et, par voie de conséquence, réduire les risques de sécurité.

En passant moins de temps à gérer de multiples applications, vous pourriez consacrer plus de temps à la cybersécurité. En outre, moins d’applications signifie probablement moins de risques qu’une ou plusieurs de ces applications soient à l’origine d’une infraction ou d’une non-conformité.

La technologie de gestion intégrée des risques est conçue pour s’étendre à un grand nombre de départements et de défis commerciaux – elle vise à être une source unique de vérité dans l’ensemble de l’entreprise.

C’est donc un candidat idéal pour remplacer toute une série d’applications, des systèmes de gestion des risques de l’entreprise aux systèmes de gestion de la santé et de la sécurité, en passant par les systèmes de gestion des risques des fournisseurs et les systèmes de gestion de la conformité et de la réglementation.

Par nature, la technologie de gestion des risques est conçue pour s’appliquer à un grand nombre de départements et de défis commerciaux. Tout comme le risque organisationnel est vaste, les solutions hébergées dans un système d’information de gestion des risques le sont également. En fait, la technologie de gestion des risques peut souvent remplacer les solutions suivantes (et bien d’autres) proposées par certains fournisseurs :

  1. Intelligence économique et analyse
  2. Systèmes de gestion du risque d’entreprise
  3. Systèmes d’auditinterne et opérationnel
  4. Systèmes de gestion de la santé et de la sécurité
  5. Systèmes de gestion de la conformité et de la réglementation
  6. Systèmes de gestion du risque fournisseur
  7. Systèmes de continuité des activités

Il s’agit bien sûr d’aider les services informatiques à être plus efficaces et, par voie de conséquence, plus sûrs.

La violation de données, un risque majeur pour les entreprises

Equifax, une agence américaine d’évaluation du crédit à la consommation, a annoncé l’incident de cybersécurité à la fin de la semaine dernière, ce qui a fait chuter ses actions de 14 %. Selon l’annonce, les criminels ont exploité une vulnérabilité de l’application d’un site web américain pour accéder à des informations, notamment des noms, des numéros de sécurité sociale, des dates de naissance, des adresses et, dans certains cas, des numéros de permis de conduire et de carte de crédit. Bien qu’Equifax soit unique en ce sens que son modèle d’entreprise repose essentiellement sur des données clients hautement sensibles, la plupart des entreprises disposent de telles données stockées soit sur des clients, soit sur des employés – en particulier lorsqu’il s’agit de données relatives aux assurances personnelles et aux demandes d’indemnisation, dont une grande partie reflète les informations confisquées dans le cadre de la violation d’Equifax. En d’autres termes, aucune entreprise ne peut être trop prudente. La cybersécurité est régulièrement citée comme l’un des principaux risques pour les entreprises, la cybercriminalité coûtant à l’économie mondiale environ 445 milliards de dollars par an, selon un rapport du Center for Strategic and International Studies intitulé « Net Losses : Estimating the Global Cost of Cyber-Crime ». Dans ce contexte malheureux où les cyberattaques semblent être davantage des événements « quand » que des événements « si », les organisations cherchent évidemment des moyens de minimiser l’impact d’une atteinte à la cybersécurité sur leurs activités. Naturellement, les entreprises pensent à se tourner vers l’assurance pour réduire les dommages potentiels, mais il n’est pas facile de souscrire des polices d’assurance cyber-responsabilité, car les assureurs ont du mal à souscrire ces risques avec précision, selon les informations de l’Association nationale des commissaires d’assurance (NAIC). Cela dit, les entreprises doivent mettre en place des normes et des processus pour réduire les cyber-risques et les dommages qui en découlent, à la fois pour atténuer les risques et pour être éligibles à l’assurance cyber-responsabilité. Selon la NAIC, les assureurs voudront probablement avoir accès aux plans d’intervention en cas de catastrophe des entreprises afin d’évaluer leur gestion des risques liés aux réseaux, aux sites web, aux actifs physiques et à la propriété intellectuelle ; ils voudront également savoir comment les employés et d’autres personnes peuvent accéder aux systèmes de données et obtenir des informations sur les logiciels antivirus et anti-malware, la fréquence des mises à jour et les performances des pare-feu.

4 questions à poser aux fournisseurs sur la cybersécurité

La bonne technologie de gestion des risques peut en fait contribuer à plusieurs éléments du puzzle de la cybersécurité auquel les entreprises sont confrontées aujourd’hui – en particulier, en allégeant la charge qui pèse sur votre service informatique et en améliorant vos processus de réaction en cas de catastrophe. Par exemple, une technologie de gestion des risques véritablement intégrée peut remplacer d’innombrables applications (des solutions de gestion des risques d’entreprise et Sarbanes-Oxley aux solutions de gestion des sinistres et de gestion de la conformité et de la réglementation, en passant par les solutions de gestion de la santé et de la sécurité). Avec moins d’applications ou de systèmes à gérer, et moins de charge sur votre serveur interne, votre service informatique pourrait en fait avoir plus de temps pour se concentrer sur des efforts de cybersécurité plus vastes et plus efficaces. Il ne s’agit là que de la partie émergée de l’iceberg de ce que la technologie de gestion des risques peut apporter à votre service informatique et à la cybersécurité. En ce qui concerne les plans de reprise après sinistre, la technologie de gestion des risques peut automatiser l’ensemble du processus de réponse aux sinistres : En cas de violation de la cybersécurité, le système peut automatiquement mettre en œuvre le plan d’intervention en cas de catastrophe, en avertissant les parties prenantes de l’événement et des prochaines mesures que les personnes responsables doivent prendre. Non seulement une approche bien huilée et opportune contribuera probablement à la gestion de la réputation dans de tels scénarios, mais elle pourrait également contribuer à la conformité, car les exigences sont de plus en plus strictes à l’échelle mondiale en ce qui concerne la manière dont les données et les violations subséquentes doivent être traitées. La technologie de gestion des risques permet d’aider les organisations à faire face au large éventail de risques auxquels elles sont confrontées aujourd’hui, y compris la cybersécurité. La cybersécurité est une question que les organisations ne peuvent pas se permettre de prendre à la légère, que ce soit en interne ou avec leurs fournisseurs. La cybercriminalité coûte à l’économie mondiale environ 445 milliards de dollars par an, selon un rapport du Center for Strategic and International Studies intitulé « Net Losses : Estimating the Global Cost of Cyber-Crime ». Quel que soit le type de technologie que vous déployez dans votre entreprise et la fonction qu’elle doit remplir – qu’il s’agisse de gérer les risques, le contenu, les clients, etc. – vous devez vous assurer qu’elle est sécurisée et que le fournisseur de la technologie d’appui a mis en place les meilleures procédures de cybersécurité. Voici quatre questions que vous devriez poser à tout fournisseur de technologie qui vous propose des logiciels en tant que service ou qui traite vos données, afin de vous assurer qu’il minimise les risques de cybersécurité pour votre entreprise :

  1. Votre entreprise est-elle certifiée en matière de sécurité des données (SSAE-16 Type 1 et Type 2, SOC-2, etc.) ?
  2. Que fait votre entreprise, au-delà de la certification, pour se préparer aux nouvelles menaces ?
  3. Votre entreprise dispose-t-elle d’équipes d’intervention en matière de cybersécurité ?
  4. Votre entreprise ou vos partenaires disposent-ils de leur propre couverture d’assurance en matière de cybersécurité ?

Ces questions sont certainement pertinentes lorsque l’on s’adresse à des fournisseurs de technologies de gestion des risques, car les données relatives aux risques, aux assurances et aux sinistres peuvent être très sensibles.

Comment choisir les bonnes solutions

Comment faire la part des choses et investir dans les solutions qui feront la plus grande différence dans l’ensemble de votre organisation, y compris dans la gestion des risques ? et investir dans les solutions qui feront la plus grande différence dans l’ensemble de votre organisation – y compris la gestion des risques – afin que votre département des risques, l’informatique, les achats et la direction de l’entreprise aient l’impression d’en avoir pour leur argent ? Le cycle de l’engouement de Gartner pour la gestion des risques1 décrit les services, plateformes logicielles, applications, méthodes et outils connexes que les organisations peuvent utiliser pour développer des programmes pour résister aux événements à risque ou pour tirer profit des opportunités liées au risque ».

Les organisations peuvent alors déterminer s’il est préférable d’adopter la technologie dès le début, d’adopter une approche plus modérée ou d’attendre que la technologie ait atteint sa pleine maturité avant d’investir.

Les clients de Gartner peuvent accéder au 2017 Gartner Hype Cycle for Risk Management ici.

Le dernier Gartner Hype Cycle pour la gestion des risques met en évidence la maturité des solutions et des applications pour des catégories telles que la gestion intégrée des risquesla gestion des risques numériques, la gestion des risques informatiques, l’analyse prédictive, la gestion des risques de bout en bout, la conformité et la surveillance des entrepriseset bien d’autres encore.

Bien qu’elle ne s’étende pas sur les solutions technologiques spécifiques de certains fournisseurs, elle répertorie des exemples de fournisseurs (y compris Riskonnect) dans les catégories de solutions qu’elle présente.

Des outils tels que le Gartner Hype Cycle for Risk Management peuvent vous aider dans vos efforts de diligence raisonnable.

Connaître l’étendue de ce qui est disponible et savoir si les solutions ont atteint le point de maturation qui convient à votre organisation vous permettra de prendre de meilleures décisions et d’obtenir de meilleurs résultats.

Apprenez-en plus sur les solutions technologiques de gestion des risques de Riskonnect qui s’alignent sur les solutions du Gartner Hype Cycle pour la gestion des risques, y compris : la gestion intégrée des risques l’analyse prédictive, la gestion des risques de bout en bout et conformité et surveillance de l’entreprise.

La bonne technologie de gestion des risques ne doit pas seulement être sûre, elle doit aussi pouvoir contribuer au fonctionnement de votre programme de cybersécurité. Par exemple, une technologie de gestion des risques véritablement intégrée peut soulager votre service informatique de la gestion d’un grand nombre d’applications, rationaliser le processus de reprise après sinistre en cas de violation ou contribuer aux efforts de prévention et de conformité en assurant le suivi des exigences en matière de formation à la cybersécurité, parallèlement à l’achèvement de la formation des employés.

Conclusion

En conclusion, s’il est important d’examiner correctement les pratiques de cybersécurité de vos fournisseurs, n’oubliez pas de poser également les questions susmentionnées à vos responsables informatiques internes. Paradoxalement, les entreprises se rendent souvent compte qu’elles ne satisfont pas aux exigences de sécurité des données qu’elles demandent à leurs fournisseurs de respecter, que ce soit au cours du processus d’achat ou de mise en œuvre. Les cyber-risques sont aujourd’hui au cœur des préoccupations des entreprises, qui sont de plus en plus nombreuses à être victimes de violations de données coûteuses et préjudiciables. Préparez-vous à ce risque – et à tant d’autres – avec l’aide d’une technologie de gestion des risques. 1 Gartner, Hype Cycle for Risk Management, 2017, juillet 2017

Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche, et ne conseille pas aux utilisateurs de technologie de choisir uniquement les fournisseurs les mieux notés ou désignés. Les publications de recherche de Gartner représentent les opinions de l’organisation de recherche de Gartner et ne doivent pas être interprétées comme des déclarations de fait. Gartner décline toute garantie, expresse ou implicite, concernant cette recherche, y compris toute garantie de qualité marchande ou d’adéquation à un usage particulier. .