Normes, standards et référentiels posent les fondamentaux et structurent de plus en plus le secteur de la cybersécurité aux échelles nationale, européenne et internationale.
Que ce soient par exemple l’ISO27001 pour la gouvernance, l’EBIOS pour l’analyse de risques ou le CIS pour les contrôles de sécurité, tous apportent une information dans un domaine spécifique de la cybersécurité.
Comment le RSSI peut-il corréler ces informations hétérogènes afin de prioriser ses plans d’actions et choisir ses orientations cyber ? Comment prendre des décisions éclairées par la réalité opérationnelle, et ainsi réconcilier la gouvernance et les opérations ?
Contactez nos experts
De la posture à la mesure avec MITRE
Quand chaque service fournit un tableau de bord différent, avec des données irréconciliables, le RSSI se retrouve souvent face à son intuition dans ses décisions. Pour un pilotage dynamique des risques aligné
sur la réalité de la menace, Mitre apporte un langage commun basé sur les techniques d’attaques référencées dans la matrice ATT&CK.
Afin d’apporter au client la réponse la plus adaptée à son contexte, Sopra Steria initie toute démarche de cybersécurité avec une analyse de la menace et des risques de l’organisation, pour en déduire
les techniques MITRE qui seront le pivot de sa solution.
Sopra Steria articule ainsi MITRE ATT&CK, les autres référentiels de MITRE (CVE, Defend, Engage…) et les autres grands référentiels du marché (EBIOS, NIST, CIS…) au sein de ses services de bout-en-bout
de cybersécurité. La donnée opérationnelle créée est homogène et exploitable pour le RSSI dans sa prise de décision, appuyée par un tableau de bord complet de l’évolution de son risque en fonction de ses niveaux de maturité et de danger.
Ces tableaux de bord déterminent à la fois des orientations opérationnelles (activation d’un contrôle de sécurité, renforcement d’une compétence…) dans une approche top-down et des orientations
stratégiques avec la Direction Générale dans une approche bottom-up.
Des leviers d’actions concrets pour les RSSI
Pour optimiser sa posture et ses moyens en cybersécurité, il est nécessaire de pouvoir la mesurer. Grâce à l’approche end to end de Sopra Steria et sa méthodologie centrée sur MITRE, les RSSI sont
désormais en capacité de :
- Comprendre la menace et leur posture de sécurité
- Adapter en continu ses architectures et ses opérations de cybersécurité
- Prioriser sa stratégie et ses investissements de cybersécurité
- Mesurer l’efficience de ses investissements de cybersécurité
Contactez nos experts
Sopra Steria premier membre européen du programme Affiliates du Center for Threat-informed Defence de MITRE Engenuity
MITRE Engenuity est une fondation technologique de MITRE qui collabore avec le secteur privé pour trouver des solutions d’intérêt public, notamment en matière de cybersécurité et de résilience des infrastructures. Elle propose des évaluations, des programmes de R&D, des formations, etc.
Le programme Affiliates du Center for Threat-Informed Defence a pour but d’accélérer l’adoption des référentiels MITRE (ATT&CK, Defend, CVE…) dans le monde. En tant que membre, Sopra
Steria apporte son retour d’expérience opérationnel et contribue au développement des liens entre les référentiels pour améliorer en continu son approche globale et la valeur apportée
à ses clients. |