La société RangeForce, spécialisée dans l'amélioration de la cyberdéfense, a annoncé le lancement de l’indice Defense Readiness Index (DRI). L’outil doit permettre aux entreprises de mesurer et d'améliorer leurs capacités en matière de cybersécurité. « Intégré à la plateforme Threat Centric de RangeForce et mis en correspondance avec les frameworks ATT&CK et D3FEND de MITRE, l’indice DRI évalue l'état de préparation d'une entreprise à répondre aux cyberattaques », a indiqué l'entreprise. Le DRI vise aussi à améliorer les compétences en matière de cybersécurité en s'appuyant sur les formations du Département de la Défense des États-Unis et de l'OTAN afin d'aider les équipes à mieux se préparer aux menaces.
Beaucoup d’entreprises ne disposent pas des ressources nécessaires pour se préparer efficacement à la cybersécurité. Le dernier indice Cisco Cybersecurity Readiness Index, qui classe les entreprises selon quatre niveaux de préparation à la cybersécurité (débutant, en formation, en évolution et mature), a révélé que plus de la moitié des entreprises se trouvent dans la catégorie « débutant » ou « en formation », et que seulement 15 % d'entre elles se trouvent dans la catégorie « mature ». La gestion des identités est considérée comme le domaine le plus critique, 58 % des entreprises se situant dans la catégorie « en formation » ou « débutant », tandis que 56 % des entreprises se situent au bas de l'échelle en matière de protection des réseaux.
Un indice sur une échelle de 1 à 5
« En fonction des faiblesses dans les capacités de cybersécurité d'une entreprise, l’indice DRI évalue les lacunes en matière de compétences et fait des recommandations stratégiques pour les combler », a déclaré RangeForce. Par ailleurs, les mesures objectives de l’indice donnent aux cadres dirigeants une visibilité sur l’état de préparation de leurs équipes de cybersécurité. « Le DRI affecte les entreprises d’un score de 1 à 5 en fonction d’un ensemble de contrôles et de pratiques propres afin d’offrir une visibilité sur la posture et la compétence des équipes pour défendre l’entreprise contre les cyberattaques », a encore déclaré RangeForce.
De plus, l’indice révèle les compétences effectives d’une équipe en fonction de ses capacités à détecter et à bloquer les menaces, sa capacité à collaborer sur les enquêtes, ses lacunes et les coûts associés. Une feuille de route indique aux entreprises quelles compétences renforcer en priorité pour passer au niveau supérieur (ou rester au même niveau selon l’évolution du paysage des menaces), et aide les entreprises à mesurer les progrès accomplis à mesure de l’amélioration des mécanismes d'évaluation et de compte rendu.
Plus de 1 000 modules de formations à la demande en renfort
L’indice DRI s'appuie sur une collaboration avec le Département américain de la Défense (Department of Defense, DoD) et l'OTAN. « Ce dernier organise les plus grands exercices internationaux de cybersécurité au monde et se défend contre les attaques d'États-nations », a déclaré Taavi Must, cofondateur et CEO de RangeForce. « Mais nous avons constaté qu'en matière de défense, même leurs équipes devaient s'entraîner à utiliser de vrais outils, en temps réel, dans des conditions stressantes. Notre formation personnalisée a été conçue pour fournir une visibilité sur les lacunes en matière de compétences et identifier les domaines à améliorer. L'extension de notre plateforme et le lancement de RangeForce étend ces avantages à tout le monde », a ajouté Taavi Must.
« Sur la base des résultats de l’indice Defense Readiness Index, les équipes reçoivent un plan de formation personnalisé élaboré à partir de la bibliothèque de RangeForce, qui compte plus de 1 000 modules de formation à la demande », a expliqué pour sa part Tanner Howell, directeur mondial de l'ingénierie des solutions chez RangeForce. « Imaginons par exemple qu’une entreprise vise le niveau 4 du DRI, si à l'issue de l’exercice, son équipe n'est pas en mesure d'endiguer correctement le malware pour atténuer la menace, la plateforme RangeForce lui proposera un plan de formation avec des modules spécifiquement axés sur les techniques de remédiation des logiciels malveillants », a ajouté le responsable.