En tant que vCISO, vous \u00eates responsable de la strat\u00e9gie de cybers\u00e9curit\u00e9 et de la gouvernance des risques de votre client. Cela int\u00e8gre plusieurs disciplines, de la recherche \u00e0 l’ex\u00e9cution en passant par le reporting. Nous avons r\u00e9cemment publi\u00e9 un manuel complet pour les vCISO, \u00ab Vos 100 premiers jours en tant que vCISO \u2013 5 \u00e9tapes vers le succ\u00e8s \u00bb<\/a>qui couvre toutes les phases impliqu\u00e9es dans le lancement d’un engagement vCISO r\u00e9ussi, ainsi que les actions recommand\u00e9es \u00e0 entreprendre et des exemples \u00e9tape par \u00e9tape. <\/p>\n Suite au succ\u00e8s du manuel et aux demandes re\u00e7ues de la part de la communaut\u00e9 MSP\/MSSP, nous avons d\u00e9cid\u00e9 d’approfondir certaines parties sp\u00e9cifiques du reporting vCISO et de fournir plus de d\u00e9tails et d’exemples. Dans cet article, nous nous concentrons sur la mani\u00e8re de cr\u00e9er des r\u00e9cits convaincants dans un rapport, ce qui a un impact significatif sur la proposition de valeur globale du MSP\/MSSP. <\/p>\n Cet article pr\u00e9sente les points saillants d’un r\u00e9cent atelier guid\u00e9<\/a> nous avons organis\u00e9 une r\u00e9union consacr\u00e9e \u00e0 ce qui fait un rapport r\u00e9ussi et \u00e0 la mani\u00e8re dont il peut \u00eatre utilis\u00e9 pour am\u00e9liorer l’engagement avec vos clients en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n L’atelier a \u00e9t\u00e9 organis\u00e9 en partenariat avec Jesse Miller, co-auteur du manuel First 100 Days et fondateur de PowerPSA Consulting et le PowerGRYD<\/a>Jesse est un CISO\/vCISO et strat\u00e8ge de longue date en mati\u00e8re de s\u00e9curit\u00e9 de l’information qui s’est donn\u00e9 pour mission d’aider les fournisseurs de services \u00e0 d\u00e9chiffrer le code pour des profits vCISO premium. Vous pouvez regarder l’int\u00e9gralit\u00e9 du webinaire, avec plus de d\u00e9tails et des exemples concrets ici<\/a>.<\/p>\n Selon Miller, \u00ab c’est une chose de faire un excellent travail, mais c’en est une autre que votre client le per\u00e7oive de cette fa\u00e7on \u00bb. C’est sur ce point que le reporting doit se concentrer. Un processus de reporting rigoureux est la cerise sur le g\u00e2teau d’un parcours connect\u00e9 pour le client dans un programme vCISO r\u00e9ussi.<\/p>\n Cependant, comme le souligne Miller, le but premier des rapports n’est pas de pr\u00e9senter les activit\u00e9s que le vCISO effectue pour le client, ce qui est une id\u00e9e fausse courante. La v\u00e9ritable valeur r\u00e9side plut\u00f4t dans le fait de faire du client le h\u00e9ros de son parcours de s\u00e9curit\u00e9. Par cons\u00e9quent, les rapports vCISO doivent se concentrer sur les objectifs du client et de son organisation, et non sur les activit\u00e9s du vCISO. L’objectif ultime de tout rapport est de permettre une discussion sur la strat\u00e9gie commerciale qui tourne autour de la s\u00e9curit\u00e9.<\/p>\n En approfondissant l\u2019objectif susmentionn\u00e9, les rapports vCISO offrent de multiples avantages \u00e0 la fois pour le vCISO et pour le client\u00a0:<\/p>\n Pour le vCISO –<\/p>\n Pour le client –<\/p>\n Pour d\u00e9couvrir tous les avantages \u00e9num\u00e9r\u00e9s ci-dessus, il est recommand\u00e9 de cr\u00e9er un rapport qui couvre quatre sections\u00a0:<\/p>\n Plongeons maintenant dans chacun d\u2019eux.<\/p>\n La premi\u00e8re section du rapport fournit un aper\u00e7u et un r\u00e9sum\u00e9, des teasers pour le reste du rapport et des indicateurs de haut niveau. C’est \u00e9galement l\u00e0 que les points les plus br\u00fblants peuvent \u00eatre abord\u00e9s. Par exemple, informer sur l’avanc\u00e9e d’un attaquant et r\u00e9pondre \u00e0 toutes les questions ouvertes.<\/p>\n En fournissant une br\u00e8ve section initiale ax\u00e9e sur les r\u00e9sultats, les vCISO peuvent partager de mani\u00e8re concise l’histoire qu’ils racontent. Cela permet \u00e9galement aux cadres et aux chefs d’entreprise de se joindre \u00e0 la premi\u00e8re partie du rapport pour un aper\u00e7u, laissant aux praticiens le soin d’approfondir les d\u00e9tails plus granulaires par la suite.<\/p>\n Par exemple, dans cet exemple de rapport de Cynomi, nous pouvons voir la premi\u00e8re partie du r\u00e9capitulatif g\u00e9n\u00e9ral, montrant le score de posture, accompagn\u00e9 d’une br\u00e8ve explication de ce que cela signifie et faisant allusion au risque.<\/p>\n La deuxi\u00e8me section permet de raconter des histoires \u00e0 partir des donn\u00e9es. Comme il existe une grande vari\u00e9t\u00e9 de donn\u00e9es pouvant \u00eatre int\u00e9gr\u00e9es aux rapports, il est important de s’assurer que les bonnes donn\u00e9es sont utilis\u00e9es. Cela permettra de cr\u00e9er la bonne histoire.<\/p>\n N\u2019oubliez pas que l\u2019id\u00e9e est de faire du client le h\u00e9ros, en lui montrant comment obtenir ce qu\u2019il veut pour l\u2019entreprise gr\u00e2ce \u00e0 son programme de s\u00e9curit\u00e9.<\/p>\n Par exemple, un public tr\u00e8s technique peut acc\u00e9der aux d\u00e9tails pr\u00e9cis des programmes de s\u00e9curit\u00e9. Cependant, un d\u00e9cideur de haut niveau ne sera pas en mesure de comprendre l’histoire \u00e0 partir des m\u00eames donn\u00e9es. Par cons\u00e9quent, il est recommand\u00e9 d’automatiser la collecte de donn\u00e9es, puis de regrouper et d’\u00e9laguer les donn\u00e9es en fonction du type de client auquel elles sont pr\u00e9sent\u00e9es.<\/p>\n Cette section peut \u00e9galement afficher les progr\u00e8s et les recommandations adapt\u00e9es aux diff\u00e9rents d\u00e9cideurs, les incidents de s\u00e9curit\u00e9 et la mani\u00e8re de les r\u00e9soudre, les actions recommand\u00e9es pour soutenir les processus m\u00e9tier (comme les fusions et acquisitions), et bien plus encore.<\/p>\n Par exemple, dans cette section d’un exemple de rapport de Cynomi, le vCISO peut analyser en d\u00e9tail l’\u00e9tat des diff\u00e9rentes politiques et domaines qui doivent \u00eatre mieux s\u00e9curis\u00e9s. Plus tard, le rapport affiche \u00e9galement les r\u00e9sultats de l’analyse qui servent de preuve \u00e0 cette analyse.<\/p>\n La section d’analyse strat\u00e9gique vise \u00e0 cr\u00e9er un parcours de s\u00e9curit\u00e9 prioris\u00e9. Pour construire ce r\u00e9cit, il est important de relier l’\u00e9valuation des risques, la feuille de route de s\u00e9curit\u00e9 et les recommandations. Cela signifie cr\u00e9er un syst\u00e8me dans lequel l’\u00e9valuation des risques de haut niveau d\u00e9tecte les d\u00e9faillances dans les contr\u00f4les de s\u00e9curit\u00e9, comme la gestion des vuln\u00e9rabilit\u00e9s, le contr\u00f4le des logiciels malveillants ou la r\u00e9ponse aux incidents. Ensuite, le rapport de recommandation doit indiquer clairement les solutions \u00e0 d\u00e9ployer et la feuille de route doit \u00e9num\u00e9rer les priorit\u00e9s, c’est-\u00e0-dire cr\u00e9er un parcours.<\/p>\n Conseils de pro :<\/p>\n Par exemple, dans ce rapport Cynomi, le vCISO peut afficher l’\u00e9tat de conformit\u00e9 et en tirer parti pour les recommandations et la feuille de route.<\/p>\n Enfin, il est temps de discuter des initiatives futures. Les clients ne disposant pas de ressources illimit\u00e9es, cette section permet de mettre en file d’attente les t\u00e2ches et de les hi\u00e9rarchiser en fonction d’un consensus men\u00e9 par l’entreprise.<\/p>\n Cette section permet \u00e9galement de prot\u00e9ger le client et le vCISO contre les risques. Par exemple, afficher les progr\u00e8s d’un mois \u00e0 l’autre permet de montrer aux auditeurs et aux organismes de r\u00e9glementation que le client fait preuve de la diligence requise. Cela prot\u00e8ge \u00e0 la fois le vCISO et le client.<\/p>\n Enfin, cette section cr\u00e9e une responsabilisation parmi les clients. Le vCISO montrant clairement les r\u00e9sultats commerciaux de l’acceptation des recommandations propos\u00e9es, le client peut prendre une d\u00e9cision commerciale et assumer le risque de cette d\u00e9cision.<\/p>\n Le reporting fait partie d’une approche holistique du vCISO qui cr\u00e9e une relation de confiance avec le client. En faisant du client le h\u00e9ros, vous lui montrez que vous avez \u00e0 c\u0153ur ses int\u00e9r\u00eats. Lorsque cela est v\u00e9rifi\u00e9 par le biais de rapports, cela favorise l’\u00e9volution et la croissance du vCISO, ce qui contribue au succ\u00e8s de votre entreprise.<\/p>\n Pour plus d’explications et d’exemples, regardez l’int\u00e9gralit\u00e9 atelier ici.<\/a><\/p>\n Pour plus de conseils professionnels et de pratiques \u00e9prouv\u00e9es pour vCISO, lisez le guide \u00ab Vos 100 premiers jours en tant que vCISO \u2013 5 \u00e9tapes vers le succ\u00e8s \u00bb<\/a>.<\/p>\n Pour des informations quotidiennes sur la fa\u00e7on de dynamiser vos b\u00e9n\u00e9fices vCISO, Suivez Jesse Miller sur LinkedIn<\/a> ou rejoignez le Communaut\u00e9 PowerGRYD<\/a>. <\/p>\n <\/p>\nLa valeur cach\u00e9e du reporting<\/h2>\n
Avantages des rapports vCISO<\/h3>\n
\n
\n
4 sections essentielles d’un rapport vCISO<\/h2>\n
\n
Section 1 : R\u00e9capitulatif g\u00e9n\u00e9ral <\/h2>\n
![\"Rapports](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/MSP-et-MSSP-comment-accroitre-lengagement-avec-vos-clients.png\" "\\"Rapports")
<\/a><\/div>\nSection 2 : Revue tactique<\/h2>\n
<\/a><\/div>\nSection 3 : Examen strat\u00e9gique<\/h2>\n
\n
<\/a><\/div>\nSection 4 : Initiatives futures<\/h2>\n
Et apr\u00e8s?<\/h2>\n