Repenser régulièrement sa stratégie cyber est un incontournable pour les équipes cybersécurité. Evolution de la menace, de la réglementation, changements dans les priorités métiers… : tous ces éléments nécessitent de revoir son plan d’action en profondeur au moins tous les 3 ans, et de le mettre à jour tous les ans si besoin.
Pour cela, il est nécessaire de savoir d’où vous partez, et de connaitre votre positionnement par rapport au marché. C’est avec cette conviction que Wavestone a construit son framework d’évaluation de maturité cybersécurité, qui capitalise aujourd’hui sur l’accompagnement de 100 organisations internationales.
Découvrez le fonctionnement du CyberBenchmark avec Anthony GUIEU, Manager Cybersécurité chez Wavestone.
Bonjour Anthony. Pour commencer, peux-tu présenter le CyberBenchmark en une phrase ?
Le CyberBenchmark est un outil complet qui permet aux entreprises d’évaluer leur niveau de cybersécurité, de se positionner par rapport au marché, et d’établir une feuille de route – grâce à un questionnaire et à une base de données de près de 100 clients dans le monde entier.
Pourquoi avoir créé le CyberBenchmark, alors qu’il existe déjà de nombreux frameworks sur le marché ?
Nous avons créé le CyberBenchmark car beaucoup de clients nous demandaient où ils se positionnaient par rapport au marché. Historiquement, nos clients recherchaient des évaluations en valeur absolue par rapport à des frameworks connus comme le NIST ou l’ISO. Aujourd’hui, ils souhaitent de plus en plus connaître leur position relative par rapport à leur écosystème. Notre CyberBenchmark permet de traiter ces deux approches simultanément.
Cela nous permet de sortir des angles d’attaque un peu différents : il y a des thématiques sur lesquelles nos clients ne sont pas matures par rapport au marché, donc ils peuvent progresser, et il faut prioriser ces actions-là. À l’inverse, il y a des thématiques où ils ne sont pas bons, mais le marché n’est, lui, pas mature ; il faut alors relativiser l’urgence du sujet. Des entreprises comme Gartner ou Forrester fournissent des tendances générales sur des grandes thématiques cyber, nous y ajoutons une vision concrète de nos observations sur le terrain, auprès de nos clients.
Quand nous avons construit le CyberBenchmark, nous avons vite réalisé que beaucoup de concurrents proposent leur version enrichie des questionnaires de cybersécurité. Notre vraie valeur ajoutée, c’est la comparaison avec le marché : près de 100 clients nous font confiance et ont été évalués avec ce cadre de référence à date !
Comment fonctionne le CyberBenchmark ?
Pour avoir un cadre cohérent, nous nous sommes basés sur des frameworks existants, c’est-à-dire les normes de sécurité qui font référence sur le marché : ISO 27001/2, NIST… C’était un point de départ obligé, car nos clients utilisent ces standards pour s’évaluer. Nous avons ensuite enrichi le questionnaire avec notre propre retour terrain, pour affiner les niveaux de maturité par thématique.
Une des valeurs ajoutées du CyberBenchmark : la granularité de l’évaluation, qui permet de mesurer précisément quelle part du périmètre atteint chaque palier de maturité. Concrètement, il est possible de répartir le niveau de maturité pour une question donnée entre les différents niveaux : par exemple 30% niveau 2, 60% niveau 3 et 10% niveau 4, ce qui peut être dû à un périmètre hétérogène, à des initiatives en cours… Cela nous permet de valoriser les projets au temps long et aux déploiements complexes sur plusieurs périmètres, en particulier dans les grands groupes, en matérialisant leur avancement.
Par la suite, chaque évaluation donne lieu à un rapport en deux parties :
- Une partie pour le top management avec les ratios budgétaires, ressources humaines et le niveau de maturité par rapport aux référentiels internationaux.
- Une partie pour les opérationnels de la sécurité avec les bonnes et mauvaises pratiques identifiées, ainsi que les actions à lancer en priorité. L’idée, c’est d’aboutir à des recommandations et des mesures concrètes pour augmenter le niveau de l’organisation.
Dans quels cas utiliser le CyberBenchmark ?
Pour moi, c’est l’outil idéal pour une organisation qui souhaite identifier rapidement ses priorités en cybersécurité.
- Les premiers résultats sont rapides : en un mois, nous sommes en mesure de produire un livrable à présenter au Comité Exécutif, avec des propositions d’actions concrètes.
- C’est l’un des rares outils du marché à offrir une comparaison par rapport aux concurrents.
- A la différence des frameworks classiques, notre questionnaire traite à la fois de problématiques de gouvernance et opérationnelles.
Le CyberBenchmark a aussi l’avantage de se décliner pour tous les besoins et les budgets.
- L’approche « rapide » ne nécessite que quelques entretiens, et repose sur une évaluation déclarative pour rapidement détourer le niveau de maturité de l’entreprise et les projets à lancer.
- L’approche « complète » repose sur un audit approfondi, de plusieurs dizaines d’entretiens et une revue des preuves voire des tests techniques complémentaires (test d’intrusion, Red Team…)
Peux-tu donner un exemple d’utilisation concret du CyberBenchmark ?
Pour illustrer l’approche « rapide », nous l’avons utilisé récemment pour accompagner un grand groupe industriel qui voulait initier une démarche de sécurisation et interpeller son comité exécutif. Après 2 mois de travaux et 5 ateliers de travail, nous avons pu restituer une vision claire du niveau de cybersécurité de la structure et projeter un niveau cible à 3 ans, qui a été accepté par le Comité Exécutif.
En termes d’approche complète, nous avons accompagné ces derniers mois une banque britannique pour évaluer finement son niveau de conformité par rapport aux cadres de référence et sa posture générale en cybersécurité. Dans ce cadre, nous avons mobilisé une équipe de 10 consultants sur 3 pays différents pour réaliser plus de 50 ateliers, en collectant des preuves pour amener un retour concret et fiabilisé du niveau de sécurité tout en identifiant par rapport au marché les points sur lesquels ils devaient investir en priorité. Ces éléments sont également utilisés dans les échanges avec leurs principaux régulateurs.
Un mot pour la fin ?
Le CyberBenchmark de Wavestone fournit une vision large du niveau de maturité du marché, tout en entrant dans des sujets techniques très précis. C’est ce qui en fait un atout différenciant pour nos clients c’est qu’ils ont la capacité de se positionner face aux entreprises de leur secteur sur chacune de leurs thématiques. Les priorités en matière de cybersécurité ressortent alors clairement, ce qui permet de construire efficacement son budget cyber. Il s’agit d’un réel accélérateur de stratégie cyber, testé et approuvé par de nombreux clients !
Grâce aux données exclusives du CyberBenchmark, nous pouvons sortir des statistiques et des tendances très facilement : combien d’entreprises ont déployé un outil de sécurité (EDR, bastion, sondes…) et où en sont-elles sur le déploiement, qui est en avance sur le marché… Par exemple, d’après notre dernière étude sur la maturité des entreprises françaises, le niveau de maturité général sur notre référentiel basé sur les normes internationales (NIST CSF Framework et ISO 27001/2) est de… 46% en moyenne. Chaque année, nous formalisons notre connaissance du marché, et nous anticipons les tendances fortes par secteur et sujet technique.
Enfin, vous l’aurez compris, le CyberBenchmark vit et se développe au fur et à mesure qu’il est utilisé pour de nouvelles entreprises. Nous disposons aujourd’hui d’une base de près de 100 entreprises ce qui va nous permettre dès janvier d’ouvrir une nouvelle catégorie : « Luxury goods & retail », comportant plus d’une dizaine d’entreprises sur lesquelles nous pourrons affiner les analyses relatives à leur secteur d’activité.
Si vous êtes intéressés pour positionner votre organisation par rapport au marché, n’hésitez pas à me contacter ou à prendre contact avec nos experts : nous pourrons vous accompagner sereinement dans cette démarche.