L'expert Richard Bejtlich incite les conseils à prioriser les signaux de risque cyber aux métriques

Les équipes de cybersécurité produisent une multitude de métriques précises, comme le nombre d’attaques bloquées, de clics sur des hameçonages, de vulnérabilités détectées, de correctifs appliqués, d’alertes traitées ou d’incidents résolus. Pourtant, les conseils d’administration des entreprises ont besoin de signaux qui révèlent l’exposition réelle au risque, sa trajectoire et ses conséquences potentielles. Ces indicateurs permettent de déterminer si les risques augmentent ou diminuent, si les contrôles fonctionnent et si l’organisation peut limiter les dommages en cas d’échec de prévention. Au cours de la dernière décennie, l’industrie de la cybersécurité a affiné la mesure des activités, mais leur utilité pour la gouvernance des conseils reste inégale. Les dirigeants veulent savoir si les mesures de sécurité évitent des pertes commerciales substantielles. Les métriques gagnent en valeur quand elles éclaircissent ces enjeux, en traduisant des données techniques en impacts compréhensibles pour tous. Richard Bejtlich, stratège et auteur en résidence chez Corelight, met l’accent sur le temps comme métrique universelle. « Le temps de détection et le temps de confinement des problèmes : voilà l’essentiel », déclare-t-il. Le dwell time, durée médiane entre l’intrusion et sa détection, et le temps de confinement servent de proxys pour les pertes évitées, un langage accessible aux non-spécialistes. Les défis persistent avec les menaces émergentes comme l’usage d’outils d’intelligence artificielle. Les conseils doivent distinguer les bons usages des mauvais, mais la visibilité sur ces agents reste limitée sans sanctions effectives pour non-respect des politiques.