Resource Center

Votre mot de passe ne vous protège pas aussi bien que vous le pensez. Surtout lorsqu’une personne est en mesure de deviner votre mot de passe rien qu’en consultant vos posts sur les médias sociaux. D’ailleurs, même dans l’hypothèse où vous disposeriez d’un mot de passe complexe – voire d’un gestionnaire de mot de passe –, les cybercriminels ont malheureusement encore des moyens d’accéder à votre précieux sésame. A partir du moment où des criminels possèdent vos données, vous pouvez dire au revoir à votre argent et peut-être même à votre identité. Pourquoi mon organisation devrait-elle avoir recours à l’authentification multifacteur (MFA) ? L’implémentation de la MFA rend la tâche des cybercriminels plus compliquée lorsqu’ils essaient d’accéder aux systèmes d’information, comme les technologies d’accès à distance, les mails et les systèmes de facturation et ce, même si les mots de passe sont compromis à causes d’attaques de phishing ou autres. Cette mesure de sécurisation supplémentaire qui s’ajoute au simple mot de passe peut protéger votre entreprise, vos achats en ligne, vos comptes bancaires et même votre identité contre les cyberpirates. Différentes appellations de la MFA : Authentification multifacteur Authentification à deux facteurs Vérification en deux étapes Authentification à 2 facteurs 2FA Qu’est-ce que l’authentification multifacteur MFA ? La MFA est une approche par étape qui permet de protéger vos comptes en ligne et les données qu’ils contiennent. Lorsque vous activez la MFA dans vos services en ligne (comme les mails), vous devez fournir une combinaison de deux ou plusieurs moyens d’authentification afin de vérifier votre identité avant d’accéder au service. L’utilisation de la MFA protège votre compte bien plus qu’en utilisant simplement un nom d’utilisateur et un mot de passe.  Les utilisateurs qui activent la MFA sont beaucoup moins susceptibles d’être piratés. Pourquoi ? Parce que même si un cybercriminel compromet un facteur (comme votre mot de passe), il ne peut pas satisfaire à la seconde condition d’authentification et n’a donc pas accès à vos comptes. Les services en ligne veulent être surs que vous êtes bien la personne que vous prétendez être et, plus important encore, empêcher toute personne non autorisée d’accéder à votre compte et à vos données. Ils ont alors recours à une double vérification. Au lieu de vous demander uniquement ce que vous savez (comme un mot de passe ou un code PIN, qui peut être réutilisé, piraté ou volé plus facilement), ils peuvent vérifier votre identité en demandant une autre information indépendante : une donnée que vous possédez (appel téléphonique, authentification via une application) une donnée qui vous caractérise (empreinte digitale ou reconnaissance faciale) Comment activer la MFA ? Maintenant que vous savez en quoi ça consiste, vous allez voir des demandes d’authentification multifacteurs partout. Assurez-vous de l’activer dès que disponible. Commencez par les paramètres de sécurité des comptes que vous utilisez le plus. Vous aurez peut-être la possibilité d’activer la MFA, qui sera appelée « Two Factor Authentication », « Multifactor Authentication » ou « Two Step Factor Authentication ». Il existe de nombreuses façons de demander une seconde forme d’authentification. Techniquement, intégrer Microsoft ou Google MFA n’est pas une tâche très compliquée. Presque tous les fabricants de logiciels qui prennent un peu la cybersécurité au sérieux proposent la MFA gratuitement. Si votre entreprise choisit d’intégrer des tokens matériels, elle doit agir en connaissance de cause car ils varient d’une application à l’autre. Formes les plus courantes de MFA : Application MFA (« authentification app »)Vérification par e-mailCode de vérification par SMS ou appel téléphonique (option la moins sûre)Vérification par 'token'Vérification par empreinte digitale ou scan du visageIl est vraiment important de veiller à ce que tous les accès aux applications depuis Internet utilisent obligatoirement l’authentification multifacteur.Obligez TOUS les collaborateurs de votre entreprise à utiliser l’authentification multifacteur (MFA) dans les cas suivants :ils disposent de données de connexion pour accéder aux applications de l’entreprise (mails, comptabilité...)ils peuvent accéder à votre organisation à distance (connexions VPN, bureau à distance (RDS)...)ils détiennent des droits administrateur afin de procéder à des configurations ou des implémentations, comme l’accès au module de gestion DNS, à l’Active Directory, à la configuration du pare-feu et du commutateur, au module de gestion de votre fournisseur d’hébergement ou de Cloud.La liste ci-dessous est une liste non exhaustive de logiciels pour lesquels il est vivement recommandé d’utiliser l’authentification multifacteur (MFA). Utilisation de la MFA dans le cadre de l’« operation technology » (OT) et de l’« Internet of things » (IoT) De plus en plus, dans les environnements OT et IoT, les utilisateurs sont la fois des individus et des appareils et des services, pour lesquels il est impossible d’appliquer certaines options de la MFA. La MFA s’inscrit en porte à faux avec la facilité d’utilisation attendue. En effet, elle requiert que l’ « utilisateur » s’authentifie à l’aide de ses empreintes digitales, de la reconnaissance faciale, de la reconnaissance rétinienne, ou encore de la reconnaissance vocale et de la reconnaissance de la signature. Si ces options ne sont pas très utiles pour le « machine-to-machine » et l’« IoT », des ingénieurs ou des opérateurs pourraient les utiliser sur le terrain par exemple. Les options d’authentification adaptative sont utiles dans l’environnement OT/IoT. Elles comprennent : Lieu : La demande d’accès provient-elle d’un lieu connu ? L’utilisateur passe-t-il d’un réseau privé à un réseau public ? Heure : Est-ce que l’heure et les données d’accès correspondent aux heures de travail habituelles ? Appareil : La demande d’accès provient-elle d’un appareil connu ? Voyons ensuite comment utiliser et intégrer l’authentification adaptative dans un environnement OT : Lieu : La capacité Bluetooth d’un appareil portable et son authentification peuvent confirmer l’emplacement d’une personne par rapport à l’équipement. Le Bluetooth ayant un rayon d’action limité, les deux appareils doivent se trouver dans ce rayon. Heure : Les employés sont censés être connectés pendant leurs heures de travail normales, alors que les périphériques dont les cycles de mise à jour sont réguliers ont généralement des timings de communication fixes. Tout changement doit tirer la sonnette d’alarme. Les interventions sur les appareils se font toutefois généralement en dehors des heures de travail. Appareil : Le périphérique se connecte-t-il/route-t-il par le biais d’une autre adresse ? Utilisez toujours le zonage dans les réseaux avec le « Network Access Control » (NAC) et confirmez que l’adresse MAC correspond au dispositif. Bien que toutes les techniques MFA ne soient pas adaptées à l’espace OT et à l’identification machine-to-machine, elles constituent certainement une bonne étape, surtout pour contribuer à sécuriser les portes d’entrée dérobées.

Chaque organisation doit partir du principe que, tôt ou tard, elle sera confrontée à une attaque par ransomware. La principale question est de savoir quand. Comme dit l’adage, mieux vaut prévenir que guérir!   Ce guide porte sur les mesures à prendre lorsqu’un ransomware a frappé votre entreprise. Chaque organisation doit partir du principe que, tôt ou tard, elle sera confrontée à une attaque par ransomware. La principale question est de savoir quand. Comme dit l’adage, mieux vaut prévenir que guérir! Ce guide porte sur les mesures à prendre lorsqu’un ransomware a frappé votre entreprise. La préparation est essentielle pour faire face à une attaque par ransomware. L’objectif primordial est de faire en sorte que les organisations soient prêtes et n’aient pas à improviser une fois la catastrophe survenue, ce qui pourrait entraîner des erreurs supplémentaires et une perte de données majeure. La préparation comprend la composition des équipes dont vous avez besoin (technique, crise, communication, etc.) et la manière de joindre ces personnes le plus efficacement. Dans la phase de préparation (par exemple, votre playbook est disponible, vous l’avez mis à l’épreuve par un exercice), assurez-vous d’inclure également un processus pour garder le tout à jour. Lire le guide "Comment répondre à une attaque par ransomware en 12 étapes"

Dans cet article, nous aborderons les meilleures pratiques et les technologies impliquées dans les technologies de Mobile Device Management (MDM) sur les appareils mobiles. Celles-ci visent à protéger les données qui compromettent la sécurité du réseau de l'entreprise ainsi que les données personnelles. 1. Introduction Il est plus facile de garantir la protection de l'environnement et des données d’une entreprise sur place, mais les utilisateurs finaux peuvent également accéder aux données sur leurs appareils mobiles et parfois personnels, et éventuellement en conserver des copies. Par « appareil mobile », l’on entend tout actif autorisé à accéder au réseau et aux ressources de l'organisation depuis l'extérieur, et donc à la fois les ordinateurs portables et les smartphones.  Les ordinateurs portables sont toutefois généralement fournis par l'entreprise et sont donc inclus dans la stratégie de sécurité, configurés et renforcés par le service IT avant d'être remis au travailleur. Cet article se concentrera donc principalement sur les smartphones, professionnels ou personnels, utilisés par les employés. Ces appareils et leurs dispositifs connectés (montres, etc.) sont une porte ouverte sur le monde entier, notamment via les réseaux sociaux. Ils hébergent des données personnelles, professionnelles ou confidentielles importantes. Que vous soyez un simple citoyen, employé dans un secteur critique, ministre, militaire, etc., les données collectées doivent être soigneusement protégées. Il s'agit notamment de votre localisation, de vos données biométriques et de vos habitudes. Ces informations sont précieuses et risquent de faire l'objet de fuites involontaires ou d'espionnage, que ce soit de la part d'entreprises privées, de concurrents, de pays étrangers ou de criminels. Les problèmes de sécurité des données ne sont pas seulement techniques et ne dépendent pas toujours directement de l'utilisateur. Ils peuvent également découler de la législation du pays où les données sont hébergées. En effet, la législation de certains pays autorise le gouvernement à consulter les données échangées et stockées pour les comptes d'utilisateurs. Il pourrait aussi bien s'agir d'une solution cloud qui synchronise automatiquement les données que des publications des utilisateurs sur les réseaux sociaux. Si vous êtes une autorité publique ou si vous pouvez personnellement représenter un risque en raison de votre position ou de vos connaissances, il convient de miser sur votre protection même dans un contexte privé et, au moins, de séparer complètement votre vie numérique personnelle et professionnelle. De plus, il serait intéressant de limiter de manière générale les données personnelles que vous partagez sur les réseaux sociaux. Elles pourraient être utilisées contre vous ou contre votre entourage pour vous atteindre. Dans cet article, nous aborderons les meilleures pratiques et les technologies impliquées dans les technologies de Mobile Device Management (MDM) sur les appareils mobiles. Celles-ci visent à protéger les données qui compromettent la sécurité du réseau de l'entreprise ainsi que les données personnelles. Aujourd'hui, la plupart des solutions MDM incluent la DLP. Nous évoquerons donc l'intégration des appareils mobiles avec des solutions MDM. 2. Politique de gestion des appareils La première étape consistera pour l'organisation à définir quels sont les risques. Comme indiqué dans l'introduction, la situation variera en fonction de vous-même, de la taille de l'entreprise, de la criticité du secteur, des capacités des concurrents, bref : de votre valeur et de la valeur des données que vous protégez. Dans la plupart des cas, la politique de l'organisation en matière de device provisioning sera l'une des suivantes: Corporate-owned device : l’appareil est acheté et configuré par l’organisation. Bring Your Own Device (BYOD) : les outils et accès de l'organisation sont configurés sur l'appareil de l'employé. La meilleure approche consistera en un équilibre entre la sécurité et le confort de travail des employés. Restreindre les accès au maximum est une solution plus sûre, mais elle compliquera la vie des employés et sera peut-être contre-productive. Si les employés sont autorisés à utiliser leurs appareils personnels (peut-être pour des raisons financières pour l'organisation), il est normal qu'ils restent propriétaires de leur matériel et qu'ils conservent des autorisations suffisantes. Dans une situation BYOD, l’appareil reste la propriété de l’utilisateur, et non de l'organisation. Cela complique quelque peu la tâche du service IT en matière de sécurité. Les situations Corporate owned sont plus claires. Le service IT peut mettre en place toutes les restrictions qu'il souhaite, par exemple supprimer l'accès administratif à l'appareil, choisir les applications installées, restreindre l'accès aux ressources en fonction de l'emplacement, bloquer les synchronisations avec des fournisseurs externes, ainsi que toutes les politiques nécessaires pour empêcher les actions non désirées. Mais est-il possible d’instaurer de telles mesures sur des appareils personnels ? Nous tenterons de répondre à cette question dans la suite de cet article. 3. Configuration de sécurité minimale Lorsque vous traitez des données, vous devez toujours vous assurer que la personne qui y accède est identifiée et qu'elle dispose de privilèges suffisants. Il convient également de garantir que le canal par lequel les données transitent ne peut pas être lu par quelqu'un d'autre, et que les données ne seront pas lues par un tiers durant leur stockage. Ces trois principes garantissent l'intégrité, la confidentialité et l'authenticité. Suivant ceux-ci, tout appareil mobile qui accède à des informations professionnelles ou les stocke doit au moins : être configuré pour l'identification des utilisateurs et l'authentification forte (mot de passe fort, MFA), être crypté, être équipé d'un logiciel anti-malware à jour (voire d'un EDR qui détectera également les comportements anormaux plutôt que seulement les signatures connues), et utiliser un virtual private networking (VPN) pour accéder au réseau de l'entreprise. Intune offre déjà de nombreuses possibilités pour un environnement d’entreprise Microsoft, le cas le plus fréquent. La solution peut également gérer des appareils IOS si les employés possèdent à la fois des appareils Android et IOS. 4. Renforcement des appareils mobiles Les mesures suivantes doivent être prises pour améliorer la sécurité des appareils et des données : L'appareil est enregistré via une solution MDM, Des sauvegardes sont effectuées régulièrement, Formation des utilisateurs à la Data Loss Prevention et aux meilleures pratiques en la matière, Une classification des données est organisée (le labelling et la classification sont deux concepts différents), Les politiques relatives à la gestion, à la classification et à l'utilisation des données sont élaborées et expliquées au niveau de l'organisation (la norme de classification des données doit être incorporée dans la politique de sécurité globale de votre organisation), Un logiciel DLP mobile surveille les utilisateurs mobiles, même si ce type de logiciel est désormais souvent inclus dans les solutions MDM. 5. Solutions anti-malware Aujourd'hui, le principal système d'exploitation mobile, Android, propose un système de sandboxing pour les applications. Cela signifie que, par défaut, les applications ne peuvent pas interagir entre elles et ont un accès limité au système d'exploitation. Les applications d'entreprise peuvent ainsi cohabiter avec les applications personnelles tout en garantissant une séparation stricte. Vous pouvez par exemple télécharger deux versions de votre application de messagerie préférée, l'une professionnelle et l'autre personnelle, avec des listes de contacts et un historique distincts. Les systèmes IOS garantissent une séparation encore plus marquée et limitent considérablement les interactions entre les applications sans le consentement de l'utilisateur. Les logiciels antivirus fonctionnent donc difficilement dans des environnements IOS, car ils ne peuvent pas analyser les actions des autres applications. En outre, de nombreuses menaces nécessitant auparavant l'utilisation de logiciels malveillants tiers sont aujourd'hui prises en charge par défaut lorsque le système d'exploitation est configuré correctement. Cela concerne aussi bien les smartphones que les ordinateurs portables. Mais même si la sécurité anti-malware intégrée est performante, n'oubliez pas qu'elle doit être mise à jour à tout moment. Les mises à jour des applications et du système d'exploitation peuvent être automatiques, mais celles envoyées par les fabricants peuvent nécessiter une intervention manuelle. 6. Mobile Device Management Adopter une politique de gestion des appareils appropriée et claire est le premier pas vers la réussite. Des outils vous aideront ensuite à atteindre vos objectifs et à garder le contrôle de vos appareils mobiles. Attention, ajouter une couche de protection supplémentaire nécessitera du temps et du personnel pour la gérer (application des correctifs de sécurité, des mises à jour, test de nouvelles marques, etc.). De nombreux fournisseurs mettent sur le marché différentes solutions Mobile Device Management (MDM). Chaque actif est enregistré dans le dispositif MDM avant d'être remis à l'employé. L'appareil est alors gérable à distance par le service IT, ce qui améliore considérablement le processus d'intégration et le temps de maintenance. Ces solutions permettent de disposer d'un inventaire actualisé de vos actifs, de gérer les applications qu'ils contiennent, de les surveiller, de les effacer, de les localiser et d'appliquer des politiques comme la MFA, le cryptage, l'obligation de se connecter à l'environnement de l'entreprise via un VPN et d’opter pour un mot de passe fort, la détection de l'exfiltration des données, etc. Voici les principales caractéristiques d'une bonne gestion d’une flotte d'appareils mobiles. Il existe deux grandes façons de gérer les appareils mobiles à l'aide d'une solution MDM. La première est d’isoler complètement l’appareil. La seconde consiste à créer deux environnements distincts et isolés sur le même appareil. Cette dernière solution est la plus difficile à mettre en œuvre et peut parfois se révéler lourde pour le matériel. Les failles de sécurité proviendront principalement de l'installation d'applications malveillantes auxquelles l'utilisateur donnera des droits d'accès au stockage, ou d'applications légitimes dont la gestion des données en arrière-plan n'est pas contrôlée. Dans les deux cas, la solution MDM donnera au département IT le droit de sélectionner efficacement les applications approuvées en matière de sécurité des appareils et de gestion des données. Les critères de sélection reposeront à la fois sur les besoins de l'entreprise et sur des tests de sécurité de l'application. Voici quelques-unes des solutions MDM les plus courantes : Ivanti MobileIron VMWare Workspace ONE BlackBerry Unified Endpoint Management Microsoft Intune Citrix Endpoint Management IBM MaaS360 Cisco Meraki Kandji (pour IOS) etc. 7. Quelles mesures pour une gestion efficace des appareils mobiles (Checklist) 7.1. Les ingrédients d’un bon contrôle des appareils mobiles...Définir une liste acceptable d'appareils et de plateformes mobiles autorisés à se connecter au(x) réseau(x) de l'entreprise.Adopter une norme de sécurité mobile qui définit les exigences et les bases de configuration pour les appareils et les plateformes mobiles.Signaler, suivre et gérer les pertes ou les vols d’appareils au moyen d'un processus standard et d'une solution MDM.Déployer une plateforme centralisée de gestion des appareils mobiles et l’utiliser pour contrôler et suivre l'utilisation des appareils, les configurations, etc. et effectuer des contrôles d'intégrité (jail break detection, etc.) avant d'autoriser l'accès aux ressources internes.Définir un ensemble de permissions d'accès et de méthodes de configuration pour les appareils BYOD et les intégrer à la solution MDM.Ne donner l’accès aux données et applications confidentielles sur les appareils mobiles que via un sandbox sécurisé et isolé ou un container sécurisé.S’assurer que les appareils mobiles mettent en œuvre des cas d'utilisation DLP (data loss prevention) de base, tels que la surveillance et l'alerte, et sont intégrés à l'infrastructure SIEM de l'entreprise à des fins de surveillance.S’assurer que les appareils BYOD mettent en œuvre des niveaux de restriction et de contrôle de sécurité identiques ou supérieurs à ceux des appareils mobiles appartenant à l'entreprise.7.2. Les appareils doivent être cryptésTous les appareils présentent des capacités de cryptage fortes lors du stockage et de la transmission.Des technologies de chiffrement intégral des disques sont mises en œuvre (BitLocker dans Windows, Filevault dans MacOS, par ex.) avec une authentification pre-boot.Des algorithmes approuvés par les FIPS (U.S. Federal Information Processing Standards), tels que l'AES, ou des normes industrielles équivalentes, sont mis en œuvre.Les normes de cryptage sont personnalisées et ajustées en fonction de la criticité de l'appareil et des données qui y sont stockées.7.3. Les appareils mobiles doivent être configurés et renforcés correctementDes contrôles doivent être mis en œuvre pour empêcher toute modification non autorisée des configurations et des bases de référence. Il convient également d’établir et de publier des normes de configuration sécurisée ou de renforcement pour toutes les plateformes technologiques, y compris les plateformes mobiles telles que iOS, Android, etc. Les utilisateurs finaux n'ont pas de privilèges d'administrateur sur leur terminal. Des correctifs sont régulièrement apportés aux systèmes d'exploitation ou aux applications des appareils.Les appareils ne disposant pas des derniers correctifs de sécurité doivent être mis en quarantaine et corrigés avant d'être connectés au réseau.Les images et les normes de référence/de construction sont examinées et mises à jour périodiquement.Des outils automatisés sont utilisés pour détecter les écarts par rapport aux normes de configuration de la sécurité, et des mesures correctives sont prises en temps utile pour combler ces écarts.7.4. Vous devez installer une détection host-based, comme un logiciel anti-malwareVous trouverez des informations utiles et complètes dans notre article sur le sujet : https://atwork.safeonweb.be/fr/recent-news-tips-and-warning/recommandations-pour-les-solutions-de-securite-de-type-anti-virus-edr 7.5. Vous devez assurer le suivi des appareils mobiles et des logicielsIl existe un inventaire centralisé de tous les logiciels et appareils autorisés et non autorisés, qui contient des informations appropriées sur les actifs (propriétaire, criticité, etc.).Il convient de revoir et de corriger l'inventaire des actifs au moins une fois par an.7.6. Vous devez mettre en place un suivi de la propriété et du cycle de vie des appareils mobilesLes appareils critiques doivent être surveillés dans l'ensemble de l'organisation et ont un propriétaire défini.Les appareils, y compris le matériel et les logiciels, sont surveillés tout au long de leur cycle de vie, de l'acquisition à la mise au rebut, et tous les changements de propriétaire sont signalés.Un processus de gestion des changements est élaboré afin d'assurer les demandes et acceptations de modifications relatives aux appareils tout au long de leur cycle de vie.Suivi automatisé des actifs grâce à l'inventaire des actifs.7.7. Vous devez étiqueter et examiner vos appareils mobilesLes appareils sont étiquetés avec la classification de sécurité appropriée.Les appareils sont réexaminés périodiquement et réétiquetés lors des changements d'actifs. Sources: Lindros, E. T. K. (2023, February 4). 5 Ways to Prevent Data Loss in Mobile Environments. CIO. https://www.cio.com/article/288235/mobile-security-5-ways-to-prevent-dat... Geekflare. (2021, September 25). 8 meilleures solutions de prévention des pertes de données qui pourraient vous faire économiser des millions. https://geekflare.com/fr/data-loss-prevention-solutions/ Desai, P. (2023, March 7). Step-by-Step New Windows Autopilot Setup Guide [2023]. Prajwal Desai. https://www.prajwaldesai.com/new-windows-autopilot-setup-guide/ Antivirus and other security software. (n.d.). https://www.ncsc.gov.uk/collection/device-security-guidance/policies-and... Download Guidelines (.PDF)

S'ils ne sont pas corrigés et entretenus régulièrement, l'infrastructure réseau et le site Web d'une entreprise peuvent présenter des failles ou des faiblesses, appelées vulnérabilités, qui peuvent être exploitées par un adversaire pour causer des dommages ou effectuer des actions non autorisées. Cela peut compromettre la confidentialité (par exemple, fuite d'informations privées), l'intégrité (par exemple, modification non autorisée de données) ou la disponibilité (par exemple, site Web hors service) des ressources. S'ils ne sont pas corrigés et entretenus régulièrement, l'infrastructure réseau et le site Web d'une entreprise peuvent présenter des failles ou des faiblesses, appelées vulnérabilités, qui peuvent être exploitées par un adversaire pour causer des dommages ou effectuer des actions non autorisées. Cela peut compromettre la confidentialité (par exemple, fuite d'informations privées), l'intégrité (par exemple, modification non autorisée de données) ou la disponibilité (par exemple, site Web hors service) des ressources. C'est pourquoi les organisations devraient utiliser des outils d'évaluation de vulnérabilité pour repérer les failles de sécurité dans leurs réseaux, leur site Web ou leurs applications Web. Ensuite, des mesures correctives appropriées peuvent être prises concernant les failles de sécurité découvertes. Une bonne pratique consiste à agir tôt pour minimiser les chances de réussite d'une attaque. Ce document présente un résumé de certains des outils les plus pertinents bien que gratuits ou peu coûteux disponibles sur le marché. Si la plupart des outils décrits peuvent être utilisés par des utilisateurs non experts, il peut arriver que l'aide d'un professionnel soit nécessaire, par exemple pour simuler des attaques avancées. Télécharger le rappport dans son intégralité (disponible seulement en anglais)

Les conseils d'administration ont l'obligation légale de surveiller correctement les risques. Les cyber-risques constituent désormais un risque commercial critique et potentiellement important. Cependant, la plupart des conseils d'administration sont mal équipés pour faire face au cyber-risque. Ils considèrent la cybernétique comme trop technique, se contentant d'approuver les ressources et de déléguer le risque. Les conseils d'administration ont l'obligation légale de surveiller correctement les risques. Les cyber-risques constituent désormais un risque commercial critique et potentiellement important. Cependant, la plupart des conseils d'administration sont mal équipés pour faire face au cyber-risque. Ils considèrent la cybernétique comme trop technique, se contentant d'approuver les ressources et de déléguer le risque. Pour les risques commerciaux traditionnels, il existe une pratique établie sur la manière dont les informations doivent être rapportées et une division acceptée de la responsabilité/délégation. Pour les cyber-risques, cela n'existe pas actuellement. Les responsables de la sécurité des informations (CISO) ont des difficultés à mesurer l'efficacité de leur programme de cybersécurité et à fournir une assurance raisonnable que le risque cybernétique restant est inférieur à l'appétit de risque de l'entreprise. De nombreux CISO ne parlent pas le "langage du conseil" et ne sont pas invités à faire des rapports. Nous vous proposons deux rapports ci-dessous Download Le premier document est destiné aux responsables de la sécurité des informations (CISO). Il décrit comment ils peuvent au mieux surveiller, mesurer et signaler les cyberrisques à leur conseil d'administration. Document pour les CISO Download Le second document est destiné aux conseils d'administration eux-mêmes. Il complète le premier document. Document pour les conseils d'administration