RESILIA, le cadre de référence de cyber-résilience, publié récemment par AXELOS, fait une entrée remarquée dans le paysage des référentiels de bonnes pratiques au moment-même où se déroule le mois de la cyber-sécurité, auquel AB Consulting s’associe au travers de la publication d’articles et de sa participation à une série d’évènements destinés à sensibiliser les Entreprises sur les risques en matière de cyber-sécurité.
Quel est le problème?
Le problème avec la sécurité informatique, c’est que, traditionnellement, elle est largement axée sur la technologie, se préoccupant surtout de contrôles et de mécanismes en en oubliant souvent la raison : il s’agit de protéger les actifs de l’organisation. Cela résulte le plus souvent en des mesures de protection totalement inadaptées : soit on sauvegarde tous les actifs et cela conduira à un coût disproportionné, ou, à l’inverse on met en place une protection insuffisante pour préserver des actifs précieux dont on ne réalise la valeur qu’une fois qu’un incident de sécurité est survenu.
Le résultat de cet état de fait, c’est qu’on blâmera des départements qui, à leur niveau, faisaient de leur mieux pour fournir une solution qui se révèle inadéquate pour un problème qui se situe à l’échelle de l’organisation, et pas seulement à celle du département..
Un changement de paradigme s’est produit il y a quelques années avec l’émergence de la «sécurité de l’information», induisant un changement de culture au travers de la focalisation sur ce qui devait être protégé au détriment de qui devait s’en charger, s’appuyant sur l’introduction du concept que la sécurité est une responsabilité collective et pas seulement celle du domaine informatique.
Les métiers de l’Entreprise ont finalement compris qu’ils avaient un rôle crucial à jouer dans la catégorisation des actifs en fonction de la valeur qu’ils représentent pour l’Organisation, c’est à dire de l’impact qu’aurait la perte de ces actifs sur l’Entreprise, et pas seulement le prix des actifs tangibles. A titre d’exemple, un ordinateur portable perdu pourrait coûter 1000 € au titre de son remplacement, mais entraîner la perte d’une opportunité d’affaire faisant perdre 10.000 € à l’entreprise. Si l’ordinateur portable a été volé et que des données confidentielles qu’il contenait ont été divulguées, alors, à ces montants peuvent s’ajouter des amendes pouvant atteindre 100 000 € par exemple. Et n’oublions pas que cette fuite d’information pourrait menacer l’avenir de l’entreprise à cause de la perte de réputation et d’image de la marque qui en résulteraient ainsi que de la réduction de la confiance de la clientèle … A partir de là on entre très rapidement dans une spirale infernale qui conduit beaucoup d’Entreprises ayant subi une cyber-attaque à une disparition pure et simple dans les deux années suivantes….
RESILIA, de quoi s’agit-il?
Alors, comment ça marche?
Ces effets peuvent-ils être contenus? La réponse est positive. La sécurité de l’information n’est pas un but en soit. C’est un parcours balisé suivant un processus simple:
- Identifier les principaux actifs. Classez-les selon leur valeur pour l’organisation, pas seulement leur valeur valeur monétaire. Il faut comprendre l’impact pour l’Entreprise s’ils sont perdus ou volés. La perte de données est un problème et le vol de données a un coût très élevé: nous ne parlons pas seulement d’amendes infligées par les organismes de réglementation, mais aussi et surtout de la réputation de la marque et de l’hémorragie de clients qui va résulter de la perte de confiance induite.
- Déterminer l’appétit du risque de l’organisation. Quelles sont les menaces qui pèsent sur ces actifs? Où sont leurs vulnérabilités? Certains risques sont totalement inévitables, ou ont un coût disproportionné de réduction qui peut être difficilement acceptable. Alors, un plan de réponse devrait être disponible au cas où le risque se transformer se concrétise. Il est toujours plus sûr d’avoir un plan en espérant ne jamais avoir à l’utiliser que de ne pas en avoir du tout.
- Communiquer la stratégie: planifier et annoncer. Qui sont vos partenaires? Quels seront leurs responsabilités? Comprennent-ils les conséquences de responsabilités non assumées? Y at-il des conditions préalables – comme une formation complémentaire ou des mesures législatives qui nécessitent d’être satisfaites?
- Exécuter le plan: impliquer les personnes et les processus, et pas seulement la technologie. Intégrez les changements au niveau culturel en faisant de la sécurité un élément naturel opérations quotidiennes – les gens ont besoin de se sentir sécurisés de façon habituelle grâce à la sensibilisation sur les avantages et des ramifications plutôt que de de ressentir qu’il ne s’agit que d’un exercice qui se traduira par une case supplémentaire à cocher.
- Examen et vérification: appliquer la gouvernance à tous les niveaux, effectuer des audits réguliers pour évaluer les niveaux de maturité et examiner les opportunités d’amélioration, mesurer et présenter des rapports qui serviront de preuve de la conformité et identifier les failles. Vous pouvez également simplement laisser aux hackers le soin de trouver les failles par eux-mêmes d’abord !…
Mais tout cela ne va pas sans difficulté. La Sécurité exige un engagement fort au niveau du Conseil d’Administration, des efforts soutenus et des investissements importants pour être couronnée de succès: ce sont les personnes responsables de l’approbation des contre-mesures défensives qui ont le plus à perdre si les mesures ne sont pas prises – celles qui verront le plus rouge visages quand vous expliquerez pourquoi on n’a pas fait plus tôt ce qu’il fallait. Donc, c’est là que se situe votre retour sur investissement: si vous voulez avoir une idée de votre budget, pensez à combien il en coûtera à votre organisation si vous ne faites pas ce qu’il faut et que vous devez supporter des conséquences telles que des pénalités par exemple..
Si la sécurité n’est pas pour vous, alors peut-être qu’elle est pour vos concurrents.
Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :