Comment gérer la « garantie numérique »
Le pourquoi de l'assurance numérique
La mise en œuvre et le maintien de la sécurité numérique dans un écosystème numérisé demandent du travail. De nos jours, plusieurs cadres et modèles complexes sont utilisés pour implémenter Sécurité numérique.
Malheureusement, ces outils sont perçus comme compliqués à mettre en œuvre et à gérer dans les chaînes de valeur et les plateformes numérisées. La plupart des entreprises utilisent encore des feuilles de calcul pour démontrer leur conformité. Et étonnamment, les régulateurs utilisent également des feuilles de calcul pour la supervision.
Les entreprises à risque
Des recherches ont montré que le nombre d'incidents de sécurité a augmenté [1] au fil des ans, tout comme l'impact financier par violation de données [1]. La maîtrise des technologies émergentes telles que les mégadonnées, l'Internet des objets [2], l'intelligence artificielle et les réseaux sociaux, ainsi que la lutte contre la cybercriminalité [3], tout en protégeant les données critiques de l'entreprise, nécessitent une équipe plutôt qu'un seul informaticien [4].
Pour protéger ces données, les professionnels de la sécurité doivent être conscients de la valeur des informations et de leur impact en cas de risque [4].
Dans le passé [7], des contrôles de sécurité informatique ont été mis en œuvre pour réduire ce risque. Ces contrôles étaient basés sur les meilleures pratiques prescrites par les fournisseurs, sans lien direct avec les risques, les exigences réglementaires ou les objectifs commerciaux [7].
Les contrôles s'appuient sur la technologie et les audits et évaluations (dans des feuilles de calcul) ont été utilisés pour prouver leur efficacité [8]. Travailler avec des feuilles de calcul Excel éparpillées devient en soi un risque en raison des exigences réglementaires à venir dans l'Union européenne, telles que NIS2 et la loi DORA. Et d'autres législations (voir tableau ci-dessous).
Données peu fiables et fragmentées entre plusieurs fichiers et systèmes
Le remplissage de feuilles de calcul est sujet à manipulation [28] car il ne s'agit pas d'un cycle fermé et verrouillé. Les feuilles de calcul sont stockées, parfois en version double, sur des systèmes décentralisés, parfois mal protégés, ce qui rend les preuves peu fiables. Les données des feuilles de calcul ne peuvent pas toujours être collectées à partir des sources, ce qui réduit leur authenticité et leur intégrité [31].
Il est nécessaire d'optimiser le processus de gestion des risques et de conformité
Javid Khan déclare : »L'utilisation d'outils et de technologies plus intelligents et plus intuitifs, ainsi que l'automatisation des processus permettra aux organisations de bénéficier des avantages qu'elles recherchent, tels que des alertes en temps réel, de meilleurs rapports et le regroupement de toutes les sources de données. À l'avenir, il y aura une demande accrue pour ce type de technologie capable d'optimiser le processus de conformité, tant du point de vue de la gestion que de la maintenance [24] ».
Le quoi : les avantages d'une gestion centralisée des risques, de la conformité et des contrôles de confidentialité
Une quantité importante de documentation et une piste d'audit sont nécessaires pour assurer la conformité, ce qui peut prendre beaucoup de temps.
Ce que nous avons appris il y a deux décennies dans le domaine de la finance, à la suite des scandales MCI WorldCom et Enron, c'est que documenter les processus financiers dans des systèmes dispersés basés sur Excel n'est ni fiable ni durable.
D'après notre expérience, un système central de gestion de la sécurité de l'information (ISMS) est nécessaire. Un ISMS est une application qui documente de manière centralisée toutes les preuves requises en matière de confidentialité, de gestion des risques et de contrôle de sécurité.
À partir des années 1970 et 1980, le besoin de systèmes tels que le progiciel de gestion intégré (ERP) et de systèmes comptables dédiés compatibles avec les réglementations comptables est devenu évident : des systèmes tels que SAP, Baan et, plus tard, Exact et AfasOnline.
Pour réduire la charge administrative
Étant donné que les processus financiers nécessitent une version unique de la vérité, ce qui est également le cas actuellement dans le domaine de la sécurité, des exigences réglementaires plus strictes nécessitent un niveau professionnel d'organisation administrative et de contrôle interne (AO/IC).
Les outils spécifiques de gouvernance, de gestion des risques et de conformité (GRC) incarnent les fonctions de l'ISMS mais sont, pour de nombreuses organisations, excessifs. La gestion et la maintenance d'un système GRC, en particulier pour une entreprise de taille moyenne, sont complexes et deviennent une tâche à part entière. Cela peut suffoquer l'entreprise.
Les systèmes de gestion de la sécurité de l'information (ISMS) facilitent l'ensemble du processus d'assurance. Ils deviendront essentiels pour les entreprises qui doivent respecter des réglementations telles que NIS2. En Europe, 160 000 entreprises doivent s'y conformer avant le 18 octobre 2024.
La charge administrative que ces futures réglementations imposeront à toute entreprise technologique fiable de l'UE (EdTech, InsurTech, FinTech, MedTech, GovTech, etc.) est immense si vous ne gérez pas et n'automatisez pas de manière centralisée via les outils ISMS.
Surveillez vos précieux actifs numériques
Les systèmes ISMS automatisent les tests de contrôle et peuvent créer des tâches périodiques qui doivent être exécutées par le personnel opérationnel. La documentation centralisée des résultats facilitera la gouvernance en matière de sécurité numérique et de conformité aux réglementations.
En tant que précurseurs de cette technologie ISMS par le biais de recherches doctorales, nous avons inventé la méthode de travail « Test once Comply Many ». Et a intégré le calcul du retour sur investissement en sécurité (ROSI).
Ce test Once Comply Many Philosophies est déjà mis en œuvre avec succès dans de nombreuses organisations telles que NN Group, UWV et ON2IT. Il permet à ces organisations de surveiller l'assurance numérique et de s'assurer de nouveaux clients en tant que partenaires fiables.
La charge administrative que ces futures réglementations imposeront à toute entreprise technologique de l'UE (EdTech, InsurTech, FinTech, MedTech, GovTech, etc.) est immense si vous ne gérez pas et n'automatisez pas de manière centralisée
Comment : protéger votre entreprise et garantir la conformité
Anove est à la pointe de la sécurité numérique depuis 1996 avec la création de la première technologie de sécurité du marché.
Actuellement, ils ont combiné plus de 25 ans d'expérience, de connaissances et les dernières connaissances dans une nouvelle technologie d'assurance numérique : Amove. Ce système de gestion de la sécurité de l'information éprouvé et développé en interne capture toutes les données pertinentes dont vous avez besoin pour protéger votre entreprise et garantir la conformité.
Anove propose un remède pour réduire la bureaucratie administrative tout en vous permettant de vous lancer sur le marché en même temps. Lorsque vous êtes confronté à des informations fragmentées entre de multiples outils et systèmes, à une gestion des risques complexe, à une bureaucratie imparable et à des activités de conformité incontrôlables, Anove peut vous aider.
Anove vise à simplifier et à améliorer continuellement son métier, à simplifier les choses et à passer de l'action à la parole. Nous proposons une aide à l'assurance numérique afin que vous puissiez vous concentrer sur votre activité. Vous pouvez compter sur notre expertise et notre expérience, car nous savons :
- Comment gérer les risques de votre entreprise,
- Comment mesurer votre exposition et
- Comment vous assurer de prendre les bonnes mesures au bon moment avec les effets escomptés.
Quelle est la prochaine étape ?
Avez-vous hâte d'en savoir plus sur ce que l'assurance numérique peut signifier pour votre entreprise ? Entrez contacter avec nous pour un entretien informatif ou pour une démonstration gratuite.
Références et autres informations
* La directive NIS est le premier texte législatif européen sur la cybersécurité. La directive sur la sécurité des réseaux et des systèmes d'information (la directive NIS) impose aux États membres d'être équipés de manière appropriée. Plus d'informations sur cette directive.
** Le DORA est conçu pour consolider et améliorer les exigences en matière de gestion des risques liés aux TIC dans l'ensemble du secteur des services financiers afin de garantir que tous les acteurs du système financier sont soumis à un ensemble commun de normes visant à atténuer les risques liés aux TIC pour leurs opérations. Commission européenne, et la loi sur la résilience opérationnelle numérique (DORA) pour le secteur financier et modificative. Source
- Ponemon, « Étude sur le coût des violations de données : analyse mondiale », Ponemon Institute LLC, États-Unis, 2016.
- M. Conti, A. Dehghantanha, K. Franke et S. Watson, « Sécurité et criminalistique de l'Internet des objets : défis et opportunités », SYSTÈMES INFORMATIQUES DE PROCHAINE GÉNÉRATION - LA REVUE INTERNATIONALE DES SCIENCES, volume 78, pages 544 à 546, 2018.
- B. Cashell, W. Jackson, M. Jickling et B. Webel, « L'impact économique des cyberattaques », Congressional Research Service, Bibliothèque du Congrès, États-Unis, 2004.
- ITGI, Les risques liés à l'information ; à qui s'adressent-ils ? , États-Unis : IT Governance Institute, 2005.
- W. Yaokumah et S. Brown, « Un examen empirique de la relation entre la sécurité de l'information, l'alignement stratégique de l'entreprise et la gouvernance de la sécurité de l'information », Journal des systèmes d'entreprise, de la gouvernance et de l'éthique, volume 2, numéro 9, pages 50 à 65, 2014.
- D. Zitting, « Êtes-vous toujours en train d'auditer dans Excel ? », Journal de conformité Sarbanes Oxley, 2015. [En ligne]. Disponible à l'adresse suivante : http://www.s-ox.com/dsp_getFeaturesDetails.cfm?CID=4156.
- S. Powell, K. Baker et B. Lawson, « Erreurs dans les feuilles de calcul opérationnelles », Journal de l'informatique organisationnelle et de l'utilisateur final, volume 21, numéro 3, pages 24 à 36, 2009.
- Deloitte, « La gestion des feuilles de calcul, ce n'est pas ce que vous pensiez », 2009.
- J. Khan, « La nécessité d'une conformité continue », p. 14-15, juin 2018.
- Y. Bobbert et T. Papelard, Facteurs de succès critiques pour la sécurité des informations commerciales, Anvers : Diagloog Publishers, 2018.
- D. Hubbard, L'échec de la gestion des risques, Hoboken, New Jersey : John Wiley & Sons, 2009.
- Y. Bobbert, Améliorer la maturité de la sécurité des informations commerciales : sur la conception et l'ingénierie d'un outil administratif de sécurité des informations commerciales, Nimègue : Université Radboud, 2018.
- W. Flores, E. Antonsen et M. Ekstedt, « Partage des connaissances en matière de sécurité de l'information dans les organisations : étude de l'effet de la gouvernance comportementale en matière de sécurité de l'information et de la culture nationale », Ordinateurs et sécurité, Volumes 2014-43, pages 90 à 110, 2014.
- J. Van Niekerk et R. Von Solms, « La culture de la sécurité de l'information ; une perspective de gestion », Elsevier, p. 476 à 486, 2010.
- C. Seale, Recherches sur la société et la culture, Sage Publications, deuxième édition : ISBN 978-0-7619-4197-2, 2004.