5 exemples d'indicateurs clés de risque (KRI)

Étiquettes:

5 Examples of Key Risk Indicators (KRIs)

Qu'est-ce qu'un indicateur clé de risque en cybersécurité?

Les indicateurs clés de risque (KRI) sont des métriques essentielles utilisées par les responsables de la sécurité et les équipes de gestion des risques pour surveiller et mesurer l'exposition aux risques cybernétiques.

Ils permettent de suivre les évolutions du profil de risque de votre organisation, de fournir des insights sur les vulnérabilités de votre infrastructure de sécurité ou de votre environnement numérique, et de soutenir une surveillance continue des risques entre les audits de sécurité.

Les KRI sont souvent confondus avec les indicateurs clés de performance (KPI), mais il existe une différence. Les KRI vous permettent de surveiller et de quantifier le risque cybernétique afin d'initier rapidement des actions correctives. En revanche, un KPI mesure la performance en matière de sécurité, les progrès par rapport aux objectifs et les tendances au fil du temps.

Examinons cinq KRI que vous devriez surveiller pour comprendre les risques potentiels auxquels votre organisation est confrontée.

KRI n°1: L'étendue de votre surface d'attaque

Un KPI important est de savoir où le risque se cache dans votre environnement numérique. Mais à mesure que votre entreprise s'étend vers le cloud, à travers les unités commerciales, les zones géographiques et les emplacements distants, il peut être difficile de découvrir et de valider votre empreinte numérique, d'identifier les risques potentiels et de prioriser les actions correctives.

Une façon d'obtenir cette visibilité est d'utiliser un outil de découverte et de reporting tel que le scan de la surface d'attaque. Cette technologie effectue automatiquement et en continu l'inventaire de vos actifs numériques, bien au-delà de votre périmètre réseau traditionnel. Les résultats sont présentés sous forme de tableaux de bord, les actifs sont localisés géographiquement, et les zones de risque concentré sont mises en évidence afin que vous puissiez rapidement les traiter.

Les KRI à surveiller incluent:

  • Instances inconnues précédemment de services cloud ou de shadow IT et leur posture de risque.
  • Unités commerciales, filiales ou bureaux distants qui ne respectent pas les politiques de sécurité de l'entreprise.
  • Profil de risque des actifs numériques critiques, tels qu'une instance cloud qui stocke des données sensibles.
  • Zones d'exposition au risque les plus élevées.

KRI n°2: Présence de logiciels malveillants

La présence de logiciels malveillants sur votre réseau est un indicateur fort de la probabilité d'une violation, et obtenir une visibilité sur l'activité des malwares est essentiel pour réduire l'exposition de votre organisation aux risques cybernétiques. Cependant, les développeurs de malwares sont habiles à concevoir des logiciels malveillants qui peuvent passer inaperçus par les outils antivirus et de scan traditionnels.

Bien qu'aucune organisation ne soit à l'abri des malwares, vous pouvez utiliser les puissants insights basés sur les données de Bitsight pour découvrir les machines qui pourraient déjà être compromises. Vous pouvez également identifier les comportements des utilisateurs susceptibles d'introduire des malwares sur votre réseau et classifier le niveau de risque posé à votre entreprise.

Les KRI liés aux malwares à surveiller incluent:

  • L'exposition des identifiants des employés sur le dark web (les hackers utilisent ces informations pour infiltrer votre réseau et installer des malwares).
  • Instances de fichiers compromis téléchargés par les employés.
  • Nombre de machines affectées par des malwares ou des botnets.

KRI n°3: Systèmes non corrigés et mal configurés

Une mauvaise hygiène de sécurité, sous forme de systèmes non corrigés et mal configurés, est un indicateur significatif de risque. Lorsque Bitsight a analysé des centaines d'événements de ransomware pour estimer la probabilité relative qu'une organisation soit une cible de ransomware, nous avons découvert que:

  • Les entreprises avec une cadence de correction obtenant des notes D ou F étaient plus de 7 fois plus susceptibles d'être victimes que les organisations avec une note A.
  • Les entreprises avec une note C ou inférieure en configurations TLS/SSL sont près de 4 fois plus susceptibles d'être victimes de ransomware.
  • Seulement 10 % des organisations ont obtenu une note A pour l'excellence de la performance en matière de sécurité.

Pour améliorer ces statistiques, utilisez Bitsight pour surveiller en continu et automatiquement votre infrastructure numérique à la recherche de vulnérabilités et de lacunes en matière de sécurité.

Les KRI liés à l'hygiène de sécurité à surveiller incluent:

  • Efficacité des certificats TLS/SSL: Bitsight analyse les certificats pour déterminer s'ils sont signés en utilisant un algorithme sécurisé.
  • Configurations TLS/SSL: Identifier les serveurs avec des bibliothèques de protocoles de sécurité mal configurées et des standards de chiffrement faibles.
  • Cadence de correction: Découvrir quels systèmes sont affectés par des vulnérabilités critiques et la rapidité avec laquelle votre organisation les corrige.
  • Et plus encore.

KRI n°4: Risque lié aux tiers

Le risque lié aux tiers est l'une des principales causes de violations de données. Mais il peut être difficile de savoir si vous faites affaire avec un fournisseur à haut risque. C'est parce que les méthodes traditionnelles d'évaluation et de mesure des postures de sécurité de vos fournisseurs ne capturent qu'une vue ponctuelle du risque. Elles sont également coûteuses, chronophages et vous obligent à faire confiance à la parole de vos fournisseurs.

Une meilleure façon de révéler le risque dans votre chaîne d'approvisionnement est de surveiller en continu et automatiquement la performance de sécurité de votre pool de fournisseurs, depuis l'intégration jusqu'à la fin de la relation.

Les KRI liés au risque tiers à surveiller incluent:

  • La présence et la gravité des vulnérabilités de sécurité dans les infrastructures informatiques de vos fournisseurs.
  • La performance historique en matière de sécurité de vos fournisseurs (une violation passée peut fournir une bonne indication de leur posture de sécurité actuelle.

KRI n°5: L’exposition financière

Avec un coût moyen d'une violation de données atteignant désormais 44,35 millions de dollars, il est essentiel pour le conseil d'administration et les cadres dirigeants de comprendre l’exposition financière de votre organisation. Ce n'est qu'alors qu'ils pourront prendre des décisions plus éclairées concernant la gestion des risques cybernétiques et prioriser les investissements dans de nouvelles technologies pour protéger votre organisation.

Cependant, collecter les données nécessaires et modéliser divers scénarios – tels que l'impact financier d'une attaque par ransomware ou d'une violation de données – requiert des ressources et une expertise considérables. De plus, ce processus est difficilement reproductible.

Avec Bitsight Financial Quantification, vous pouvez simuler l’exposition financière de votre organisation face à des centaines de milliers d’événements cybernétiques.

Les KRI que vous pouvez modéliser incluent l’impact financier de:

  • Attaques par déni de service, vols de données, extorsions, violations de la vie privée et autres types d’attaques.
  • Incidents cybernétiques dans votre chaîne d'approvisionnement numérique.
  • Non-respect des normes et réglementations en matière de cybersécurité, ainsi que les amendes et pénalités probables.

Les KRI sont une composante essentielle de tout programme de gestion des risques cybernétiques et devraient être étroitement liés à un KPI. Par exemple, si vous découvrez des KRI persistants dans votre organisation, comme des systèmes non corrigés, un KPI connexe pourrait être une amélioration mesurable de votre cadence de correction sur une certaine période.

Les KRI et les KPI varient selon les organisations, mais quels que soient les indicateurs choisis, assurez-vous de tirer parti de la technologie et de l'automatisation. Cela vous permettra de collecter et d’analyser facilement les données, de surveiller les tendances et de résoudre rapidement les problèmes.