« Le premier point qui doit être pris en compte dans le choix d’une solution doit être de définir les objectifs à atteindre.
Ce choix doit s’opérer en fonction de la taille de l’organisation, du volume de risques à analyser et d’analyse de risque à mener, mais aussi des exigences réglementaires auxquelles elle est soumise.
Ensuite, l’entreprise doit trouver un outil pour réaliser ses analyses de risque. Cela permet d’avoir un cadre et d’homogénéiser la méthodologie, notamment autour de EBIOS RM avec des solutions qui implémentent la méthode. Un deuxième niveau porte sur le suivi des risques à l’échelle de l’entreprise, notamment le suivi des tierces parties, de la conformité, le suivi des risques IT.
Actuellement, les grands comptes sont encore très peu outillés sur le volet » Analyse de risque ». On trouve encore énormément d’Excel pour réaliser ces analyses de risque, même dans des entreprises qui réalisent plusieurs centaines d’analyses de risque par an. En revanche, pratiquement toutes disposent d’un outil de gestion du risque transverse. »
Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme : des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).
Inscrivez-vous gratuitement ici
« Il faut passer d’une approche d’évitement où l’on met en place un ensemble de moyens de détection des cyberattaques et où on réagit lorsque celle-ci survient, à une approche de résilience.
Il s’agit de détecter et anticiper les vulnérabilités. Cela implique de prendre du recul, d’analyser les vulnérabilités potentielles et mettre en place une gestion complète de la continuité.
Il y a un besoin d’une vision globale pour avoir les enjeux de conformité, les enjeux de résilience, de cybersécurité, et tous les risques opérationnels. Cela implique que l’IT, les équipes sécurité et les métiers à travailler ensemble. S’appuyer sur une plateforme permet d’obtenir une transversalité, une capacité à casser les silos de données tout en respectant les silos organisationnels. »
« Les plans d’actions techniques vont parler aux experts cyber, aux DSI, mais ne permettent pas aux boards de prendre des décisions éclairées. Or ceux qui doivent débloquer les budgets doivent avoir conscience de la nécessité de le faire.
Notre approche est de rapprocher ces deux mondes, avec une approche Bottom-Up : industrialiser le process Security by Design en partant d’un jumeau numérique du futur système pour arbitrer les risques, choisir les meilleures pratiques de sécurité, intégrer les pratiques existantes.
Il s’agit ensuite de rapprocher cette mesure à ce l’on va présenter à la direction générale, avec une quantification des risques macroscopiques. La force de notre plateforme est de relier les risques techniques aux risques quantifiés. »
« L’adoption d’EBIOS RM a démarré en 2019/2020 uniquement auprès des grands comptes du secteur de la défense, mais aujourd’hui tous les secteurs l’ont adopté.
Cela ne veut pas dire que 100% des entreprises en font, mais tous les secteurs y vont. NIS 2 va certainement accélérer énormément cette adoption, car NIS 1 avait obligé les OSE (Opérateurs de Services Essentiels) a mené des analyses de risque.
Avec NIS 2, le nombre d’entreprises concernées va être multiplié par 20. De marché d’experts, le Risk Management va revenir un marché de masse.
Une particularité d’EBIOS RM est d’être un outil collaboratif : l’outil doit se partager et être le support à un travail collaboratif. Une personne doit maîtriser l’outil pour saisir les données, mais derrière elle, c’est le collectif qui va permettre de mener des discussions contradictoires sur les risques identifiés et les positionner sur une échelle de gravité. »
Selon le Financial Times, la Commission européenne se prépare à déposer des accusations antitrust formelles…
OpenAI a codifié en un document (la « Model Spec ») son approche concernant le…
Vers des opérations malveillantes sous le couvert du support Dell ? L'entreprise a subi un…
La liste des plaintes contre Microsoft s'allonge à l'initiative d'une association espagnole de start-up.
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
