PAS 555 - Gérer la cyber sécurité
BSI, l’organisme national de normalisation, a créé une nouvelle spécification PAS 555 risque de la cybersécurité - Gouvernance et management - Spécification pour aider les organisations à gérer leur exposition aux risques en matière de cybersécurité.
Selon l'Enquête ‘Infractions à la Sécurité de l'Information 2013’ réalisée par BIS (The Department for Business, Innovation and Skills) le coût de la pire infraction de l'année semble avoir augmenté de façon significative, de £35,000 - £65,000 pour les petites entreprises et £450,000 - £750 000 pour les grandes organisations. Les données de l'enquête démontrent que la présence d’un management robuste de la cybersécurité permet de protéger l'entreprise, sa réputation et la ligne de fond.
PAS 555 offre un cadre qui définit les résultats de bonnes pratiques en matière de cybersécurité. Elle s'étend au-delà des aspects techniques de la cybersécurité pour englober aussi bien les aspects de la sécurité physique qu’humaine. Elle peut fonctionner sur une base autonome ou peut être intégrée à des protocoles ou des normes existantes.
L'exigence d'une évaluation des risques en matière de cybersécurité est au centre de la structure.
Cela permet à une organisation de comprendre son exposition aux risques de cybersécurité et de développer une approche robuste pour gérer ce risque, en fonction de son contexte d’activité. La création du PAS 555 est née d'un besoin reconnu par l'industrie et également articulé dans la Stratégie Cyber 2011 du Gouvernement. Le PAS est parrainé et soutenu conjointement par Cisco, Control Risks, G4S, PA Consulting Group et Symantec, avec d'autres intervenants clés dans son développement. La spécification vise la direction opérationnelle, les membres du conseil d'administration et la haute direction, et est applicable à toutes les tailles d’organisation.
Anne Hayes, Directrice du Développement du Marché pour le Risque chez BSI, déclare : « Beaucoup d'organisations ne sont aujourd'hui toujours pas au courant que les cyber-problèmes sont des menaces potentielles à leur entreprise. L'approche axée sur les résultats offerts par cette spécification les aide à identifier les menaces et aborder la question du management de la cyber-sécurité efficacement ».
Ed Savage, Expert en Cybersécurité chez PA Consulting Group, déclare : « À ce jour, la plupart des meilleures pratiques de cybersécurité se concentrent presque exclusivement sur les méthodes et les contrôles. PAS 555 met plutôt l'accent sur les résultats – les objectifs et les impacts des processus de sécurité - et aide les organisations à identifier les domaines de leur activité qui doivent être protégés le plus ».