Ressources : Cybersécurité

Le Cyberscore : le nutri-score de la sécurité des données

02 novembre 2023

En bref

Tout comme le nutri-score, le CyberScore permet de simplifier la vision d’une organisation en ce qui concerne sa cybersécurité. Cet audit peut être soumis à la direction dans le but de motiver de nouveaux budgets à long terme pour la sécurisation du système d’information. Le CyberScore obtenu se nomme un « indice de sécurité ».

L’audit de maturité organisationnelle

Pour obtenir un CyberScore, il faut réaliser un audit de maturité organisationnelle. Ce dernier n’est pas à confondre avec un test d’intrusion qui lui vise à tester la sécurité d’une organisation. L’audit de maturité contrôle et vérifie des points précis sur 14 thématiques, par exemple la sensibilisation des utilisateurs, la gestion de la gouvernance ou la sécurité dans le cloud.

Chacune des thématiques est une analyse en profondeur et permet d’obtenir son propre score. Le CyberScore est la moyenne de tous les points traités (250 points au total).

Les thématiques ainsi que les points à traiter sont issus de différents référentiels reconnus dans le monde de la cybersécurité :

  • Le référentiel ISO 27001 – Qui traite de la sécurité de l’information
  • Le NIS – Qui est un cadre de conformité de la cybersécurité au niveau européen
  • Les bonnes pratiques de l’ANSSI – Qui est un guide de techniques et de recueils sur les bonnes pratiques à mettre en œuvre.

La vérification de tous ces points permet d’avoir deux éléments importants d’un point de vue cybersécurité :

  • Une vision de votre niveau de maturité à l’instant « T » (comparable à une photo de votre niveau de cybersécurité)
  • Une vision sur les points faibles à améliorer.

Le saviez-vous ?

Le groupe Reel IT est certifié ISO 27001. Notre pôle cybersécurité est également référencé sur le site gouvernemental cybermalveillance.gouv comme référent de confiance cybersécurité.

Plan d’action, phases et priorités

La cybersécurité, primordiale dans le contexte très digitalisé dans lequel évoluent les entreprises, n’est pas une course mais un marathon. Il est donc important d’avoir un plan d’action en plusieurs phases et priorités (nommées « P ») différentes.

Les actions simples doivent être mises en priorité afin d’augmenter rapidement l’indice de cybersécurité. Le plan d’action dispose de 4 phases qu’il est recommandé de suivre :

  • Priorité 0 ou P0 : Concerne les actions de remédiation simples qui vont être menées le temps de l’étude du CyberScore afin d’augmenter rapidement et facilement le niveau de maturité en exécutant des actions simples
  • Priorité 1 ou P1 : Actions à mener après dans l’année
  • Priorité 2 ou P2 : Actions à mener après la 2ème année du CyberScore
  • Priorité 3 ou P3 : Actions à mener après la 3ème année du CyberScore

Cette structuration, découpée en 4 phases, permet d’avoir une vision à long terme et de mesurer et suivre le niveau de cybersécurité de son organisation.

En conclusion

Le CyberScore offre aux entreprises la possibilité d’avoir une vision sur la maturité cybersécurité de leur système d’information et de construire un plan d’action adapté à la faisabilité de la taille et du contexte de l’organisation du SI.

Perspectives

Lisez nos dernières publications, études et recherches traitant des enjeux clés qui influencent l’avenir des entreprises, des collectivités et de la société.