La multiplication des cyberattaques et leur sophistication accrue contre les entreprises de toutes tailles ne font aucun doute aujourd’hui (l’exemple des ransomwares révèle des attaques visant à paralyser l’organisme).
La question que les organisations doivent se poser n’est plus de savoir si oui ou non une attaque arrivera, mais plutôt quand. Ce phénomène oblige les organismes à se préparer en conséquence face à cette menace systémique. D’autant plus que les attaques ont un impact négatif de plus en plus grave sur les organisations.
D’une défense passive, fondée sur un modèle de sécurité périmétrique et manquant d’anticipation et de réaction, les organisations doivent acquérir une logique dynamique, en adéquation avec l’évolution des menaces pour continuer à faire fonctionner leurs activités vitales même en cas d’attaque. En d’autres termes, elle doit devenir cyber-résiliente. Cette résilience permettra aux clients, aux actionnaires et à l’écosystème d’être davantage confiant et à l’entreprise de préserver une image favorable, au-delà même de sa survie.
La question que les organisations doivent se poser n’est plus de savoir si oui ou non une attaque arrivera, mais plutôt quand. Ce phénomène oblige les organismes à se préparer en conséquence face à cette menace systémique. D’autant plus que les attaques ont un impact négatif de plus en plus grave sur les organisations.
D’une défense passive, fondée sur un modèle de sécurité périmétrique et manquant d’anticipation et de réaction, les organisations doivent acquérir une logique dynamique, en adéquation avec l’évolution des menaces pour continuer à faire fonctionner leurs activités vitales même en cas d’attaque. En d’autres termes, elle doit devenir cyber-résiliente. Cette résilience permettra aux clients, aux actionnaires et à l’écosystème d’être davantage confiant et à l’entreprise de préserver une image favorable, au-delà même de sa survie.
Quels sont les principaux critères qui permettent à une organisation d’être cyber- résiliente ?
La « security by design »
(ou sécurité dès la conception) : il est indispensable pour les organisations d’envisager la sécurité dès le lancement d’un projet. La « security by design » ne doit pas seulement être envisagée pour les logiciels et leurs architectures, elle intègre également les IOT (internet of thing), autrement dit les imprimantes, PC, tablettes.
Ces objets connectés qui apportent toujours plus de modularité dans les processus métier, sont également source de risques et augmentent la surface d’attaque possible des systèmes d’information. Ces objets connectés servent effectivement, par exemple, à effectuer des attaques par déni de service (DDoS) car mal sécurisés ou paramétrés. Exemple du Botnet Mirai qui, en 2016, s’est diffusé par l’intermédiaire de caméras de vidéosurveillance et a paralysé plusieurs heures des sites comme Paypal ou Twitter
Des outils numériques plus sûrs et robustes auront pour conséquence de réduire l’impact d’une attaque. De plus, la crise sanitaire a obligé les entreprises à se numériser encore davantage, parfois à marche forcée, non sans exposer le système d’information à des failles plus nombreuses. Cette numérisation doit impérativement s’accompagner d’un questionnement sur l’exposition aux menaces causées par les nouveaux comportements.
Ces objets connectés qui apportent toujours plus de modularité dans les processus métier, sont également source de risques et augmentent la surface d’attaque possible des systèmes d’information. Ces objets connectés servent effectivement, par exemple, à effectuer des attaques par déni de service (DDoS) car mal sécurisés ou paramétrés. Exemple du Botnet Mirai qui, en 2016, s’est diffusé par l’intermédiaire de caméras de vidéosurveillance et a paralysé plusieurs heures des sites comme Paypal ou Twitter
Des outils numériques plus sûrs et robustes auront pour conséquence de réduire l’impact d’une attaque. De plus, la crise sanitaire a obligé les entreprises à se numériser encore davantage, parfois à marche forcée, non sans exposer le système d’information à des failles plus nombreuses. Cette numérisation doit impérativement s’accompagner d’un questionnement sur l’exposition aux menaces causées par les nouveaux comportements.
Une démarche proactive et innovante de la cybersécurité
L’idée selon laquelle la cybersécurité efficace passe avant tout par des barricades autour du système d’information n’a plus lieu d’être. Les organisations doivent aujourd’hui penser la cybersécurité comme une question stratégique et en faire un levier dynamique, manié en profondeur.
Le plan de continuité d’activité (et un plan de continuité IT) doit anticiper tous les scénarios et envisager pour chacun d’eux, une réponse et une organisation spécifique. Un travail de fond entre les métiers et les responsables de la sécurité des systèmes d’information doit permettre d’envisager les processus et actifs cruciaux de l’activité. Ces derniers devront alors faire l’objet d’une vigilance optimale et devront redémarrer en priorité après crise. Cette proactivité est aussi synonyme d’audit de sécurité et de tests d’intrusion (physique et logique).
Cela est d’autant plus vrai si votre organisme se place dans un secteur stratégique (énergie, défense, bancaire, etc), plus contraint par les régulateurs et plus visé par les pirates. Enfin, une démarche proactive doit nécessairement se baser sur un système de détection des menaces. Plus la détection est efficace, plus l’entreprise peut agir vite et prendre les bonnes décisions.
L’idée est de se préparer en permanence à la survenance d’une attaque qui peut surgir de toute part. Comment ?Grâce à des capacités de réaction rapide et à des habitudes orientées sécurité (hygiène informatique). Cette réaction rapide passe notamment par la mise en œuvre d’un plan de continuité d’activité, des exercices de gestions de crise pour sensibiliser les collaborateurs en cas d’incident majeur.
Le plan de continuité d’activité (et un plan de continuité IT) doit anticiper tous les scénarios et envisager pour chacun d’eux, une réponse et une organisation spécifique. Un travail de fond entre les métiers et les responsables de la sécurité des systèmes d’information doit permettre d’envisager les processus et actifs cruciaux de l’activité. Ces derniers devront alors faire l’objet d’une vigilance optimale et devront redémarrer en priorité après crise. Cette proactivité est aussi synonyme d’audit de sécurité et de tests d’intrusion (physique et logique).
Cela est d’autant plus vrai si votre organisme se place dans un secteur stratégique (énergie, défense, bancaire, etc), plus contraint par les régulateurs et plus visé par les pirates. Enfin, une démarche proactive doit nécessairement se baser sur un système de détection des menaces. Plus la détection est efficace, plus l’entreprise peut agir vite et prendre les bonnes décisions.
Le rôle accru des cyber-assurances
Les assurances protégeant des risques cyber sont un phénomène en pleine croissance. Pour autant, elles ne doivent pas faire perdre de vue l’objectif d’une organisation dans sa responsabilité face aux menaces cyber. Cette cyber-assurance permet aux entreprises de partager le risque entre l’entreprise et l’assureur. Les pertes financières liées à une attaque ont parfois pour conséquence la mort d’une organisation, notamment des PME.
Autrement dit, elles permettent de réduire l’impact financier d’une attaque et doivent donc être un complément à la politique de sécurité. Pour adapter au mieux cette assurance, l’organisation doit impérativement connaitre son système d’information et les risques encourus dans une logique de gestion des risques cyber. Les cyber-assurances continueront dans le futur à se démocratiser. Elles ne concernent aujourd’hui essentiellement que les grands comptes.
Autrement dit, elles permettent de réduire l’impact financier d’une attaque et doivent donc être un complément à la politique de sécurité. Pour adapter au mieux cette assurance, l’organisation doit impérativement connaitre son système d’information et les risques encourus dans une logique de gestion des risques cyber. Les cyber-assurances continueront dans le futur à se démocratiser. Elles ne concernent aujourd’hui essentiellement que les grands comptes.
Une indispensable coopération avec son écosystème devenu plus complexe
Il est devenu indispensable de travailler de concert avec l’écosystème de son organisation (tiers, clients, sous-traitant) qui amène également ses sources de risques, notamment par ricochet. L’organisme est parfois victime par négligence de l’un de ses sous-traitants qui ne respectent pas l’hygiène de sécurité informatique minimale et est le point d’entrée d’un hacker vers sa cible : l’organisme.
L’idée est donc de promouvoir une logique de cyber-sécurité à plus grande échelle via des formations (en fonctions des outils de sécurité existants), des campagnes de sensibilisation afin de responsabiliser toutes les personnes qui participent directement ou indirectement à l’activité de l’entreprise.Pour porter un message efficace à travers tout l’écosystème, ces enjeux doivent évidemment déjà être compris et pleinement intégrés au niveau stratégique, c’est-à-dire par la direction de l’organisme central.
La démocratisation de la cyber-résilience est un impératif pour toutes les organisations
Finalement, la cyber-résilience d’une organisation ne s’obtient pas uniquement par une politique de sécurité. Elle est le fruit d’une multitude d’actions logiquement combinées entre-elles.
Par définition proactive, en perpétuelle évolution par rapport au contexte, une cyber-résilience permettra à l’organisme d’être prêt en cas d’attaque, pour réduire l’impact lié à l’image, au financier, etc.. Cette nouvelle approche de la cybersécurité est d’autant plus importante, que les attaques sont de plus en plus sophistiquées et que le risque de sanction qui pèse sur les entreprises en cas de fuite de données personnelles s’ajoute au reste.
Les notions de cybersécurité et de cyber-résilience sont finalement liées. Alors que la première cherche à réduire les risques cyber, la deuxième part du constat que le risque zéro n’existe pas et cherche à réduire l’impact lors de la survenance quasi-inéluctable d’une attaque. L’idée est d’avoir en permanence une longueur d’avance sur les attaquants potentiels.
La démocratisation de la cyber-résilience est un impératif pour toutes les organisations et doit permettre de combiner les efforts en matière de sécurité pour survivre en s’adaptant au cyberespace, un champ caractérisé par des menaces toujours plus sophistiquées, complexes à appréhender et aux effets dévastateurs.
Par définition proactive, en perpétuelle évolution par rapport au contexte, une cyber-résilience permettra à l’organisme d’être prêt en cas d’attaque, pour réduire l’impact lié à l’image, au financier, etc.. Cette nouvelle approche de la cybersécurité est d’autant plus importante, que les attaques sont de plus en plus sophistiquées et que le risque de sanction qui pèse sur les entreprises en cas de fuite de données personnelles s’ajoute au reste.
Les notions de cybersécurité et de cyber-résilience sont finalement liées. Alors que la première cherche à réduire les risques cyber, la deuxième part du constat que le risque zéro n’existe pas et cherche à réduire l’impact lors de la survenance quasi-inéluctable d’une attaque. L’idée est d’avoir en permanence une longueur d’avance sur les attaquants potentiels.
La démocratisation de la cyber-résilience est un impératif pour toutes les organisations et doit permettre de combiner les efforts en matière de sécurité pour survivre en s’adaptant au cyberespace, un champ caractérisé par des menaces toujours plus sophistiquées, complexes à appréhender et aux effets dévastateurs.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial (site de la CNIL).