L’analyse d’Olivier
Patole, CEO de Trustable, plateforme de cybersécurité.
Dans un écosystème
globalisé, assurer une sécurité cohérente à travers toutes les filiales d’un
groupe est un défi stratégique. L’évaluation cyber des filiales s’assure que
les principes et mesures définis au niveau du groupe sont bien appliqués
localement, prenant en compte les spécificités et risques propres à chaque
entité. Dans ce contexte, industrialiser sa démarche d’évaluation se positionne
comme un enjeu stratégique. Une telle démarche permet d’identifier et de
prioriser les actions pour une posture unifiée et robuste à l’échelle
internationale.
Un parcours
d’évaluation cyber des filiales, digitalisé et spécifique à chaque
organisation
Ces étapes doivent être
réalisées automatiquement et adaptées à chaque niveau de risque grâce à des
technologies de pointe comme l’intelligence artificielle. L’approche doit
intégrer différents points complémentaires : Scan de
vulnérabilité, analyse OSINT, analyse documentaire, revue de
processus, revue de configuration des équipements clés, campagnes de
phishing, test d’intrusion, mais aussi revue de code. Ce dispositif global est
un must have et un cadre de travail structurant pour poser un cadre d’évaluation
cyber de ses filiales. `
Une approche sur mesure
à destination du management
Pour les DSI et RSSI
groupe :
Ils bénéficient de gain en visibilité sur le déploiement de la politique de
sécurité groupe au sein des filiales, mais aussi d’un dispositif
d’industrialisation du processus d’évaluation et de suivi. Au-delà de ces
éléments, on note également une gestion proportionnée et efficace des risques,
en fonction de la criticité des activités locales et la représentation de la
filiale par rapport au groupe. Au final, les DSI et RSSI groupe sont en
mesure de mener une évaluation dynamique et continue, permettant une
surveillance proactive et en temps réel des filiales.
Pour la DSI/RSSI de la
filiale :
On note une évaluation claire de la situation de la filiale par rapport aux
attentes du groupe et une priorisation des actions à mener localement pour
garantir les intérêts du groupe. La communication est alors plus fluide
avec le groupe, basée sur des éléments factuels et des indicateurs partagés par
tous. Enfin, il est possible de bénéficier d’un positionnement par rapport
aux autres filiales du groupe permettant de capitaliser sur les bonnes
pratiques.
Pour la Direction
générale :
De son côté, la direction générale pourra bénéficier d’une
cartographie des activités du groupe exposées à un risque cyber et ainsi
optimiser la gouvernance pour une meilleure maîtrise des enjeux critiques.
À travers ces quelques éléments, on comprend donc que l’évaluation cyber des filiales est un sujet central qui doit être abordé dans une logique structurée pour offrir aux DSI, RSSI et directions générales un outil de pilotage concret.