Rapport sur les cyber-risques

Le rapport sur les cyber-risques fournit une vue structurée des risques liés à la cybersécurité d’une organisation, de son niveau de sécurité actuel et de ses stratégies d’atténuation du risque. Utilisez ce rapport pour obtenir des informations claires, transparentes et exploitables sur les risques liés à la cybersécurité et leur impact potentiel sur vos objectifs commerciaux.

Ce rapport sert d’outil de communication stratégique, comblant le fossé entre les opérations techniques de cybersécurité et la prise de décision commerciale. Il permet aux dirigeants de prendre des décisions éclairées et fondées sur les risques, et d’aligner les initiatives de cybersécurité sur les objectifs commerciaux globaux.

Créez votre tableau de bord d’analyse à l’aide de fonctionnalités de reporting personnalisables. Ajustez les visuels et la mise en page et ajoutez des descriptions utilisables lors des discussions du conseil d’administration. Vous pouvez également partager votre tableau de bord avec des sites Boards, afin de fluidifier le partage et la publication des rapports sur la plateforme Diligent One.

Accéder aux modèles de rapport dans le Centre d’activités

Conditions préalables

Les modèles de rapport doivent être déployés et activés à votre intention dans votre Centre d’activités. Contactez votre Customer Success Manager pour obtenir de l’aide.

Pour obtenir des informations sur l’accès et l’utilisation des modèles de rapport dans Centre d’activité, consultez la section .

Connecter les tableaux de bord aux sites Boards

Pour obtenir des informations sur la connexion des tableaux de bord du Centre d’activités aux sites Boards, consultez la section Diligent One : Connecter les tableaux de bord du Centre d'activité aux sites Boards .

Comprendre la structure du tableau de bord

Le rapport sur les risques de cybersécurité offre plusieurs fonctionnalités clés conçues pour fournir des données sur les cyber-risques complètes et favoriser une prise de décision basée sur des données. Le tableau de bord se compose de six onglets qui vous permettent d’élaborer une description et de présenter les résultats à votre conseil d’administration. Il comprend des visuels et des indicateurs clés de performance (KPI) indiquant les cybermenaces et les vulnérabilités actuelles et émergentes, ainsi qu’un historique des performances et des améliorations de votre organisation en matière de cybersécurité. Cliquez sur chaque onglet ci-dessous pour en savoir plus.

Cet onglet présente une vue d’ensemble concise des informations essentielles en matière de cybersécurité, adaptées aux discussions au niveau du conseil d’administration. Vous pouvez consulter des informations contextuelles ainsi que des mesures clés sélectionnées dans d’autres sections du rapport, ce qui permet au conseil d’administration de prendre des décisions éclairées sur la base d’un récit clair et précis.

Visuels disponibles

Les visuels suivants sont disponibles dans cette section :

Synthèse

Utilisez cette section pour fournir un contexte stratégique, mettre en évidence les tendances et détailler les efforts d’atténuation du risque, afin de faciliter la prise de décision rapide des dirigeants.

Paysage des menaces

Ce visuel présente des informations sur le paysage actuel des menaces en matière de cybersécurité, en résumant les menaces pertinentes auxquelles votre organisation est confrontée.

Benchmarking

Cette section met en évidence les notations historiques des risques de cybersécurité provenant de plateformes telles que BitSight, autorisant ainsi des comparaisons avec les normes du secteur.

  • Notations des risques BitSightLes notations des risques BitSight sont des scores numériques compris entre 250 et 900, basés sur des données en temps réel, objectives et non intrusives collectées à partir de sources accessibles au public. Utilisez les graphiques linéaires pour afficher les notations historiques de cybersécurité de votre organisation. Cette visualisation vous aide à suivre l’évolution de l’efficacité de la cybersécurité au fil du temps.
  • Cadre de maturité de la cybersécurité du NISTLe cadre de maturité, développé par le National Institute of Standards and Technology (NIST), fournit des lignes directrices structurées, des bonnes pratiques et des normes pour aider votre organisation à gérer et à réduire les risques liés à la cybersécurité. Ces niveaux de maturité vont de « Adhoc » à « Optimisé », indiquant la progression depuis les pratiques initiales non structurées jusqu’aux processus de cybersécurité entièrement optimisés et intégrés.

Principaux risques

Obtenez des détails sur les risques de cybersécurité les plus urgents, y compris leur statut et les mesures nécessaires pour les atténuer.

  • RésuméPréparez un aperçu concis des risques les plus critiques qui ont été identifiés, de leurs tendances et de tout changement depuis leur dernier examen.
  • Registre des risquesMettez en évidence les risques critiques qui ont connu des changements importants depuis leur dernier examen. La table comprend les risques jugés critiques en fonction de leur gravité, des facteurs de notation des risques et d’autres critères convenus. Elle décrit les efforts tels que les plans de remédiation, le propriétaire du risque et le calendrier de traitement des risques.
  • Risques critiques en retardCette représentation visuelle met en évidence le statut des risques critiques en distinguant ceux qui ont été traités dans les délais et ceux qui sont en retard.

Incidents

Cette section résume la fréquence et la nature des incidents de cybersécurité signalés, en présentant ces informations dans un format compréhensible.

  • RésuméRésumez le nombre d’incidents critiques signalés chaque trimestre, ainsi que les mesures prises pour les résoudre et les mesures en attente.
  • Incidents par trimestreCe graphique illustre le nombre d’incidents cybernétiques enregistrés et signalés au cours de chaque trimestre de l’année.

Initiatives

Obtenez des détails sur les initiatives de cybersécurité en cours ou proposées qui visent à renforcer la posture de sécurité de votre organisation.

  • Initiatives réalisées et résultatsMettez en évidence les initiatives importantes qui ont été réalisées et leur impact.
  • PrioritairesMettez en évidence certaines initiatives clés ou stratégiques qui ont été prioritaires au cours du trimestre suivant et leur impact.

Cet onglet fournit des définitions et des explications de tous les termes clés, indicateurs de performance clés et concepts techniques inclus dans le rapport sur les cyber-risques pour une consultation rapide. Il vous permet d’avoir une compréhension commune et accessible du langage complexe ou technique utilisé ailleurs dans le rapport, favorisant une communication claire et une prise de décision plus efficace.

Les termes suivants sont expliqués dans cette section :

  • La gestion des vulnérabilités est un processus proactif visant à identifier, évaluer, atténuer et surveiller les vulnérabilités des systèmes, réseaux et logiciels d’une organisation afin de réduire les risques liés à la cybersécurité.

  • Les outils d’analyse sont utilisés pour identifier les vulnérabilités et évaluer les risques de sécurité au sein de l’infrastructure informatique d’une organisation. Ces outils facilitent la surveillance et l’analyse continues des systèmes afin de détecter les failles de sécurité qui pourraient être exploitées par des attaquants.

  • Les tests d’intrusion identifient les vulnérabilités, les faiblesses et les lacunes en matière de sécurité dans l’infrastructure informatique d’une organisation et contribuent à l’évaluation des défenses de sécurité, à la détermination des vecteurs d’attaque potentiels et à fournir une aide aux organisations pour atténuer les risques avant que de véritables attaquants ne puissent les exploiter.

  • Les logiciels de gestion des incidents et des événements de sécurité (SIEM) consolident les informations et les événements de sécurité d’une organisation en temps réel. Ils jouent un rôle essentiel dans l’identification, la gestion et la réponse aux incidents de sécurité en fournissant une vue d’ensemble de la posture de sécurité d’une organisation.

  • La gestion des incidents est un processus structuré visant à minimiser l’impact des incidents de sécurité, à rétablir rapidement le fonctionnement normal et à prévenir de futurs incidents.

  • Le cadre de cybersécurité NIST CSF est un cadre qui fournit des lignes directrices structurées, des bonnes pratiques et des normes pour identifier, détecter les cybermenaces, se protéger contre elles, y répondre et s’en remettre.

Cet onglet vous aide à suivre le statut des audits sur l’ensemble des produits ou services, en se référant à des cadres communs tels que System and Organization Controls 2 (SOC 2) et Health Insurance Portability and Accountability Act (HIPAA). Obtenez un résumé des résultats d’audit récents, identifiez les domaines de non-conformité et voyez quels produits ou domaines ont passé le contrôle avec succès.

Visuels disponibles

Les visuels suivants sont disponibles dans cette section :

Conformité/Audit

Utilisez cette section pour saisir le statut de vos rapports d’audit par produit ou service.

Statut du rapport d’audit (par produit/service)Ce graphique illustre le statut des audits effectués sur divers produits ou services. Il indique les produits ou services qui ont été audités, les différents cadres d’audit utilisés, tels que SOC2 et HIPAA, et le statut de ces audits.

Formation à la sécurité

Utilisez cette section pour suivre vos analyses de formation à la sécurité et préparer votre rapport de fin de campagne de sensibilisation à la sécurité.

Fin de campagne de sensibilisation à la sécurité Ce graphique suit la fin des programmes de sensibilisation à la sécurité, en indiquant le pourcentage d’employés ou de sous-traitants qui ont suivi une formation obligatoire ou volontaire en matière de cybersécurité.

Tests d’intrusion

Utilisez cette section pour résumer les problèmes identifiés en suspens par gravité et le délai moyen de résolution des problèmes à haut risque.

  • Problèmes identifiés en suspens par gravité Ce graphique indique l’intensité des problèmes en suspens identifiés au cours des audits ou des contrôles de conformité. La gravité est mesurée comme critique, élevée, moyenne ou faible. Cela permet de comprendre la proportion des problèmes en fonction de leur gravité.

  • Délai moyen de résolution des problèmes à haut risque Cette mesure suit le temps moyen nécessaire pour résoudre les problèmes à haut risque identifiés lors des audits et fournit des informations sur l’efficacité de la réponse de votre organisation aux vulnérabilités critiques.

Cet onglet démontre la robustesse du plan de réponse aux incidents de votre organisation. Il s’appuie sur des données quantitatives et met l’accent sur la détection, le diagnostic, la remédiation et la prévention des incidents.

Visuels disponibles

Les visuels suivants sont disponibles dans cette section :

Gestion des incidents

Utilisez cette section pour identifier, mettre en évidence et expliquer les périodes marquées par une augmentation ou une diminution inhabituelle des incidents de cybersécurité dans votre organisation. Vous pouvez inclure des commentaires et des données provenant du système de gestion des incidents de votre organisation.

Tendance trimestrielle des incidentsObtenez une mesure globale du nombre d’alertes générées ou d’incidents enregistrés au cours d’une période donnée, par exemple mensuelle, trimestrielle ou semestrielle. Les risques présentés dans ce graphique sont classés en fonction de leur niveau de gravité sur une échelle allant de critique à élevé, moyen et faible.

Identification des incidents

Utilisez cette section pour préparer une mesure globale du nombre d’alertes générées ou d’incidents enregistrés au cours d’une période donnée, par exemple mensuelle, trimestrielle ou semestrielle.

Tendance trimestrielle des incidentsCette table classe les incidents en fonction de leur source. Les informations présentées dans cette table proviennent des sources suivantes :

  • Les audits font référence aux incidents identifiés lors de vos audits de sécurité.

  • La surveillance continue fait référence aux incidents identifiés par des systèmes automatisés qui surveillent en permanence le réseau et les systèmes de votre organisation afin de détecter toute anomalie ou faille de sécurité.

  • Les incidents signalés par les clients sont ceux qui ont été signalés par les clients. Il peut s’agir de commentaires ou de plaintes de clients qui ont rencontré des problèmes pouvant indiquer un incident de sécurité.

  • Les incidents signalés par les employés sont ceux qui ont été signalés par vos employés. Les employés peuvent remarquer des activités suspectes ou des violations de sécurité potentielles et les signaler à l’équipe informatique ou à l’équipe de sécurité.

Divulgation des incidents

Utilisez cette section pour signaler et analyser les incidents de cybersécurité considérés comme importants sur la base de facteurs quantitatifs et qualitatifs.

Le rapport 8K fait référence à un rapport exigé par la Securities and Exchange Commission (SEC) des États-Unis. Toutes les sociétés cotées en bourse doivent déposer ce rapport afin de divulguer les événements importants susceptibles d’affecter les actionnaires ou les investisseurs. L’objectif du rapport 8K est d’assurer la transparence et la communication en temps opportun des événements importants de l’entreprise, y compris les incidents de cybersécurité jugés importants.

  • Dernière mise à jour indique la date la plus récente à laquelle le rapport de divulgation d’une entreprise a été mis à jour.

  • Date de divulgation indique la date à laquelle le rapport de divulgation d’une entreprise a été déposé.

  • Entreprise affiche le nom de l’entreprise qui a déposé le rapport de divulgation.

Cet onglet se concentre sur le processus proactif d’identification, d’évaluation, d’atténuation et de surveillance des vulnérabilités au sein des systèmes, des réseaux et des logiciels de votre organisation.

Visuels disponibles

Les visuels suivants sont disponibles dans cette section :

Gestion des vulnérabilités

Présentez les vulnérabilités actuelles au sein de votre organisation, en mettant en évidence les actifs à haut risque et les vulnérabilités critiques qui nécessitent une attention immédiate.

Vulnérabilités de productionUtilisez le graphique pour obtenir un aperçu des données historiques montrant la proportion de vulnérabilités ouvertes par rapport aux vulnérabilités corrigées afin d’évaluer l’allocation des ressources pour la remédiation. La ligne rouge représente les vulnérabilités ouvertes et la ligne grise représente les vulnérabilités corrigées.

Réactivité face aux vulnérabilités

Évaluez la rapidité et l’efficacité avec lesquelles votre organisation réagit aux vulnérabilités identifiées.

Vulnérabilités de production ouvertesCe graphique donne un aperçu du niveau de réactivité de votre organisation face aux résultats des vulnérabilités signalées. Le graphique comprend des mesures telles que le délai moyen d’intervention et/ou le délai moyen de remédiation, tous deux mesurés par rapport à un SLA défini dans votre politique de gestion des vulnérabilités, afin de mettre en évidence votre réactivité.

SLA de remédiation

Fournissez des mises à jour sur les SLA, qui sont des accords formalisés définissant les délais et les responsabilités attendus pour traiter et résoudre les vulnérabilités identifiées.

Vulnérabilités élevées et critiques des infrastructures - Conformité aux SLACe graphique illustre la proportion de vulnérabilités corrigées dans les délais requis, en fonction de la gravité du risque.

Utilisez cette section pour vous concentrer sur l’évaluation et la gestion des risques posés par vos fournisseurs et les systèmes d’information tiers. Cette section évalue les progrès réalisés par votre organisation dans l’identification de ces risques et les mesures prises pour les gérer.

Visuels disponibles

Les visuels suivants sont disponibles dans cette section :

Classification des tiers et des fournisseurs

Classez les fournisseurs en fonction de la criticité des services qu’ils fournissent, par exemple risque critique, élevé, moyen ou faible. Cette classification permet de hiérarchiser les efforts de gestion des relations les plus risquées.

Fournisseurs par classificationUtilisez cette représentation visuelle pour classer les fournisseurs en fonction du niveau de risque qu’ils représentent pour votre organisation. Ce graphique classe les fournisseurs en catégories telles que risque critique, élevé, moyen et faible.

Évaluations du risque liées aux tiers et aux fournisseurs

Identifiez les risques associés aux fournisseurs tiers en incluant des mesures telles que le nombre et le pourcentage de fournisseurs dans les SLA d’évaluation du risque.

Fournisseurs dans le SLA d’évaluation du risqueUtilisez ce graphique pour déterminer si les évaluations du risque pour les fournisseurs tiers sont effectuées dans les délais convenus dans le contrat de niveau de service (SLA). Le SLA détermine la fréquence et les délais pour la réalisation des évaluations du risque, en particulier pour les fournisseurs identifiés comme présentant un risque élevé ou critique.