Dans mon article précédent je vous présentais la méthode EBIOS Risk Manager pour gérer les cyber-risques. Je vous propose aujourd’hui de remonter un peu vers la gouvernance. Nous allons nous intéresser aux aspects stratégiques de la gestion des risques cyber. Dans le passé j’avais déjà abordé cet aspect dans un article intitulé Cyber-risques : que fait le conseil d’administration? A l’époque la réponse qui semblait s’imposer était simple : il ne faisait rien. Ou du moins, pas grand chose. Depuis, il semble qu’au vu du nombre d’attaques subies par les entreprises, le sujet soit un peu remonté sur l’échelle de criticité des organes de gouvernance. Cependant, le constat reste alarmant à l’heure de la transformation numérique de l’économie. Aujourd’hui les risques cyber constituent clairement un enjeu stratégique majeur pour les entreprises. Celles qui ne le comprennent pas sont condamnées à mourir.
Le Forum Economique Mondial, dans son rapport 2019, a reconnu la cybercriminalité comme un risque majeur. Elle se situe dans le top 4 des risques les plus critiques. Au même titre donc que les catastrophes naturelles et les effets du changement climatique. A raison, puisque les entreprises, des TPE aux grands groupes, ont souffert de piratages, de braquages digitaux et de violations des données. En 2017, 67 % des entreprises au niveau mondial ont fait l’objet d’au moins une attaque. En France, elles étaient 81% en 2018.
Un risque aux impacts majeurs
Les pertes financières subies par ces entreprises sont souvent très élevées. Elles résultent le plus souvent d’un vol pur et simple, d’une interruption de leur activité. Elles peuvent également résulter d’une atteinte à la réputation de l’entreprise, du paiement de pénalités aux clients, ou de condamnations légales. La CNIL a respectivement sanctionné la société immobilière SERGIC et la compagnie d’assurance ACTIVE Assurances à 400.000 et 180.000 euros d’amende pour non respect des exigences du RGPD et pour sécurisation insuffisante des données de leurs clients et de leurs usagers. Et preuve qu’une brèche dans la sécurité d’une entreprise peut compromettre sa pérennité, la valorisation boursière de la société de crédit américaine Equifax a perdu 4 milliards en 2017, après un gigantesque vol de données personnelles affectant 143 millions d’utilisateurs.
L’impact potentiel sur la réputation et le cœur d’activité de l’entreprise font que le risque cyber n’est désormais plus un risque technique relevant uniquement de la responsabilité de votre Direction des Systèmes d’Information. Il s’agit aujourd’hui d’un risque stratégique majeur. C’est donc au niveau de la direction de chaque entreprise qu’il convient de gérer ce risque. Que ce soit pour se conformer aux réglementations telles que le RGDP ou la directive européenne Network and information security (NIS), ou encore pour répondre aux pressions financières et sociétales, les entreprises doivent protéger les données qu’elles détiennent. Pour cela, elles ont l’obligation de mettre en oeuvre des dispositifs de cybersécurité efficaces (chiffrement, étanchéité des réseaux, authentification etc.).
Les cyber-criminels évoluent plus vite que vous
La cybercriminalité est un sujet complexe. Le spectre et l’ampleur des activités malveillantes perpétrées par le crime organisé, les terroristes, les pirates informatiques, les hacktivistes, les concurrents et les gouvernements évoluent en permanence. Les cyber-menaces évoluent ainsi plus rapidement que toute barrière défensive. En effet, les cybercriminels capitalisent en permanence sur les technologies émergentes (big data, intelligence artificielle…) ou profitent du développement du cloud. De plus, les statistiques indiquent qu’ill faut en moyenne plus de 200 jours pour repérer la présence de pirates sur les réseaux informatiques.
Cependant, les attaques criminelles n’interviennent pas par hasard. La probabilité de subir les conséquences d’une cyber-attaque est liée à la manière dont l’entreprise se protège. Les choix que l’entreprise effectue au quotidien influencent également cette probabilité. Il incombe donc aux entreprises de ne pas faciliter la tâche des pirates. Pour ce faire, les organisations doivent d’abord comprendre la nature et la valeur de ce qu’elles protègent. Elles doivent ensuite connaître le type de menaces auxquelles elles sont confrontées. Enfin elles doivent mettre en oeuvre une véritable stratégie de protection. Notons que cette stratégie doit impérativement inclure également les salariés.
Une stratégie en 4 étapes
Historiquement, lors de la définition de la stratégie, les entreprises avaient l’habitude de traiter séparément la création de la valeur et la protection de la valeur. Aujourd’hui, ce n’est plus possible. Afin d’établir une stratégie et un modèle d’entreprise durables, les équipes de direction doivent intégrer activement et systématiquement les pratiques liées à la protection et à la défense au niveau stratégique, tactique et opérationnel.
Je vous propose donc une stratégie simple de gestion du risque cyber. Elle s’inspire directement des bonnes pratiques telles que la norme ISO/IEC 27005 et/ou de la méthode EBIOS.
1 – Définir un périmètre de protection
On peut définir la cybercriminalité comme l’ensemble des infractions pénales commises sur les réseaux de télécommunication, incluant Internet. Tout chef d’entreprise doit donc en premier lieu comprendre le contexte interne et externe de son organisation. En d’autres termes, comment son patrimoine et ses actifs les plus vitaux sont connectés :
- systèmes d’information et réseaux : leur indisponibilité aura-t-elle un impact sur l’activité ?
- données stratégiques : quelles seront les conséquences en cas de vol de données de la R&D ou d’informations à caractère sensible (M&A, contrats avec des partenaires et des fournisseurs, business plans, etc.)?
- données à caractère personnel : quelle est leur valeur pour l’entreprise? Pour les pirates ? Quelles sont les sanctions légales potentielles en cas de fuite?
Il lui faudra ensuite cartographier les types de risques possibles. On les classe alors selon deux axes : la probabilité d’occurrence du risque et son niveau d’impact. Aucune entreprise n’a des ressources infinies. Il faut donc prioriser les actions de protection.
2 – Connaître et comprendre les menaces
La deuxième étape consiste pour l’entreprise à identifier le type de menaces auquel elle fait face. Il convient aussi de comprendre les motivations des auteurs présumés. En France comme partout dans le monde, les attaques les plus fréquentes sont l’hameçonnage (« phishing » en anglais, technique utilisée par des escrocs sur Internet pour obtenir des informations personnelles), le rançongiciel (« ransomware » en anglais, logiciel prenant en otage les données) en progression de 350% sur l’année 2018 et les logiciels malveillants (« malwares ») dont le coût par attaque est estimé à 2,4 millions de dollars. Vous trouverez sur ce blog un article décrivant les principales attaques auxquelles les entreprises sont exposées en 2019.
Par ailleurs, le recours massif au cloud augmente le risque de partage accidentel ou intentionnel de données sensibles. Enfin, même si l’arnaque au président ou escroquerie aux faux ordres de virement n’est pas vraiment du piratage informatique car elle ne relève pas de l’exploitation des failles techniques des systèmes d’information, ce crime s’appuie sur la manipulation des individus qui gèrent ces systèmes. En 2018, une entreprise française sur deux ont ainsi été impactées. C’est le cas de Pathé qui a perdu 19 millions d’euros au profit d’escrocs qui ont utilisé une fausse adresse e-mail avec le nom des dirigeants de la société, afin d’obtenir des versements auprès de sa filiale néerlandaise.
Vous voulez mieux comprendre l’évolution récente des cibles des menaces au sein de votre organisation? Je vous invite à lire, sur ce même blog « La chasse aux VAP est ouverte« .
3 – Mettre en place une « cyber-hygiène »
La portée de nombreuses attaques médiatisées aurait pu être largement diminuée si les entreprises concernées avaient mis en place des réflexes assez simples de « cyber-hygiène », comme le rappelle le colonel Jean-Dominique Nollet, chef du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie.
- Sauvegarder les données de façon systématique et tester régulièrement la stratégie de sauvegarde.
- Compartimenter les ressources pour limiter la propagation d’une menace.
- Crypter les données pour assurer leur confidentialité.
- Renforcer l’authentification en utilisant plusieurs facteurs (pas seulement un mot de passe).
- Appliquer régulièrement les mises à jour du système, du réseau et des applications. Celà empêchera les pirates d’exploiter des vulnérabilités connues.
- Déployer des logiciels de sécurité (logiciels antivirus et pare-feux) et des solutions de détection et de réaction aux menaces sur les terminaux (comme la mise en place d’un plan de réponse aux incidents de sécurité informatique).
- Tester ses systèmes de sécurité et ceux de ses partenaires. Pour ce faire, il ne faut pas hésiter à faire appel à des hackers éthiques par exemple. Leur mission est de chercher les failles dans les systèmes afin de les sécuriser. On peut aussi faire appel à des chasseurs de menace. Ceux-ci sont capables d’analyser le degré de risque de cyber-attaques auquel une entreprise fait face.
4 – Sensibiliser les ressources humaines
Au-delà de ces actions, la culture de l’entreprise joue aussi un rôle majeur dans la sécurisation des opérations. Les cyber-criminels exploitent encore régulièrement la méconnaissance du risque. Et donc, chaque salarié doit être continuellement sensibilisé et avoir pleinement conscience qu’il joue un rôle essentiel non seulement dans la croissance de sa société, mais aussi dans sa protection contre les menaces externes et internes. Cela passe par l’acquisition de compétences simples, efficaces et utiles pour l’ensemble des collaborateurs dans leur vie professionnelle et privée (gestion des mots de passe, mise en place d’une signature numérique, sauvegarde de son travail, connaissance des principales attaques…), des tests réguliers et l’instauration d’une culture de la tolérance propice à la remontée des informations sur les incidents, les anomalies, les erreurs ou les inquiétudes.
Conclusion
Le risque cyber est une réalité aux conséquences dévastatrices pour l’entreprise. Les dommages liés à la cybercriminalité devraient atteindre 6000 milliards de dollars par an d’ici à 2021. Aujourd’hui, un dirigeant porte la responsabilité de la protection du patrimoine de l’entreprise. Celui-ci, lorsqu’on le gère de manière proactive et intelligente, cesse d’être une contrainte. Il devient alors un moyen de renforcer l’avantage compétitif de l’organisation. Intégrer le risque cyber dès la stratégie, c’est renforcer la confiance des investisseurs, des partenaires, des employés et des clients soucieux de leur sûreté. La sécurité est un besoin humain fondamental. Ainsi, les clients privilégient toujours les marques qui réduisent le danger par rapport à leurs concurrentes.
En savoir plus
Vous voulez en savoir plus et renforcer vos connaissances dans de domaine de la gestion du risque cyber? Nous vous proposons de suivre une formation parmi les suivantes :
- PECB ISO 27005 Risk Manager
- EBIOS Risk Manager
- Bootcamp ISO 27005 + EBIOS RM sur 5 jours
- Préparation au CRISC de l’ISACA
Enfin, nous vous invitons à découvrir notre quizz gratuit en ligne. Il vous permettra d’évaluer votre niveau de connaissance en matière de gestion du risque cyber.
Et, bien sûr, n’hésitez pas à commenter cet article. Vous pouvez aussi le partager ou le relayer sur les réseaux sociaux s’il vous a intéressé.