Crédit : Dreamstime Je ne sais pas combien de fois j’ai entendu des professionnels de la cybersécurité dire quelque chose comme « ne pas avoir d’authentification multifacteur représente un risque énorme pour notre organisation. La vérité est que ce type de déclaration peut illustrer une faiblesse de contrôle, mais à moins que le résultat indésirable ne soit un ding dans un rapport d’audit où l’AMF est requise, ce n’est pas le risque réel. Le risque réel est la probabilité d’un incident de ransomware, par exemple, ou la fuite d’informations personnellement identifiables (PII) à partir d’une base de données client. Pour les entreprises, le risque réside dans les pertes potentielles associées aux résultats indésirables subis par leurs environnements informatiques. L’élément de cybersécurité se concentre généralement sur les incidents où ces résultats ont été causés par un adversaire intelligent. Une façon simple de penser aux résultats indésirables est de considérer les façons dont les OSC pourraient ne pas atteindre un ou plusieurs de leurs objectifs de contrôle – confidentialité, intégrité, disponibilité ou autres objectifs – et subir l’un des incidents susmentionnés, entre autres. compris, il devient plus facile de voir qu’une grande partie de ce que nous faisons dans le domaine de la cybersécurité consiste à remédier aux faiblesses des contrôles qui agissent essentiellement comme des espaces réservés aux risques. Nous estimons qu’il n’existe aucun moyen réel de déterminer les risques et d’évaluer leur probabilité et nous nous appuyons donc sur les meilleures pratiques et les cadres de contrôle pour combler les lacunes. Ainsi, alors que la plupart des OSC exercent leurs fonctions au service des activités de gestion des risques, il n’y a presque jamais de preuve que la correction des faiblesses de contrôle conduirait jamais à une véritable réduction des résultats indésirables qui conduisent à des événements de perte.Le risque de cybersécurité vit en temps réelJe crois qu’il y a une grande raison pour laquelle cela est vrai : nous n’intériorisons pas le fait que le risque que nous visons à gérer « vit » dans les activités en temps réel qui se déroulent dans nos environnements informatiques. Autrement dit, le risque existe dans les millions, milliards, trillions, quadrillions de transactions, de messages, de sessions et d’autres éléments structurés. Bien que nous ne puissions pas mesurer définitivement le risque, car le risque principal est une prédiction sur les résultats futurs, nous pouvons au moins faire ces prédictions de risque, puis tester leur exactitude après coup en mesurant les activités pertinentes. Ensuite, nous pouvons utiliser ces données pour éclairer nos futures prédictions de risques et leurs décisions de suivi. le volume mondial de spam augmente en raison de réseaux de zombies importants et florissants qui envoient des spams. Comme l’ont souligné les chercheurs sur les menaces du fournisseur, environ 8 % à 10 % du spam mondial observé en 2016 pourraient être classés comme malveillants. En outre, le pourcentage de spam avec des pièces jointes malveillantes augmente et les adversaires semblent expérimenter avec un large éventail de types de fichiers pour aider leurs campagnes à réussir. Sur la base de ces informations, les OSC peuvent déduire la part de probabilité du risque de recevoir un e-mail malveillant d’environ 6 %. Certains de mes collègues astucieux peuvent souligner que le risque doit également inclure un élément de magnitude exprimé en pertes financières. Bien que ce soit finalement mon objectif également, je ne considère pas cela comme une condition nécessaire tant que l’on peut deviner les pertes associées à la réception d’un message électronique malveillant. Cela permet aux OSC de revenir en arrière non pas pour contrôler la faiblesse, mais pour sa force, en fonction du nombre de ces messages qu’une solution peut arrêter avant qu’un incident ne se produise.Avec tant d’activités de cybersécurité axées sur les personnes et les processus, il est facile de devenir distrait ou trompé en pensant incorrectement. Il est crucial de comprendre qu’au milieu des quantités massives d’activités qui se produisent dans nos environnements informatiques, le temps réel est là où se trouve le risque.
Balises cybersécurité