Face aux cybermenaces de plus en plus présentes, la Commission Européenne a décidé de renforcer le rôle de l’Enisa, l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information créée en 2004. Ainsi, cette dernière se verra dotée d’effectifs et d’un budget accrus ainsi que de nouvelles responsabilités.
Dans le domaine de la cybersécurité, la « sécurité » et le « risque » sont des sujets de conversation prépondérants au sein des entreprises, excepté pour les directeurs administratifs et financiers (DAF), pour lesquels seul le risque reste la principale préoccupation. Il leur incombe en effet d’évaluer les répercussions financières de chaque risque pris par leur organisation, et il en est de même en matière de cybersécurité. Ils veulent par conséquent des modèles qui leur permettent d’identifier clairement les cyber-risques auxquels ils s’exposent, que les menaces soient internes ou externes.
Pas de place pour l’ignorance
WannaCry, NotPetya… les attaques mondiales récentes alimentent constamment des discussions autour de la cybersécurité. Cependant, des entreprises peinent encore à se protéger efficacement. Traditionnellement, les responsables de la sécurité des systèmes d’information (RSSI) rejoignent ainsi les réunions du conseil d’administration les cinq dernières minutes pour présenter leurs dernières initiatives, auxquelles personne ne prête réellement attention. Pourquoi ? Tout simplement parce que les conseils d’administration ne parlent pas le même langage technique. À chacun son métier. Les DAF ont en effet besoin que les choses leur soient expliquées d’un point de vue de la gestion et de la limitation des risques.
Une situation qui conduit quelque peu à une impasse : les équipes en charge de la cybersécurité sont de plus en plus détachées des autres membres du personnel, mais aussi de l’impact que leurs initiatives peuvent avoir sur leurs collègues, en particulier sur le plan financier. Ils perdent également de vue l’activité de certains comptes à privilèges – ou comptes administrateurs -, notamment ceux des directeurs financiers, et passent donc à côté d’éventuels indicateurs de vulnérabilité, d’une compromission de données imminente ou d’une menace interne, pouvant par exemple émaner d’un employé mécontent. Parallèlement, sans explication précise sur le bien-fondé de certains protocoles de sécurité, le département financier peut facilement être contrarié par des mesures susceptibles d’entraver son travail et choisir par conséquent de les ignorer, s’exposant ainsi à un risque accru de compromission de données.
Nouer le dialogue
Les organisations doivent dès lors chercher à renouer le dialogue entre ces deux départements centraux, afin que les uns puissent comprendre l’impact des politiques de sécurité sur les comptes et transactions commerciales critiques, et vice versa. Pour ce faire, encourager les équipes de cybersécurité à éviter tout jargon technique pour que les messages qu’elles délivrent aux DAF soient plus clairs, permettrait d’inciter ces derniers à mettre en place un système de défense efficace contre les cybermenaces. Ils ont en effet une excellente vue sur l’ensemble des menaces existantes, du fait de leur implication dans les activités commerciales. Une telle approche collaborative permettra ainsi aux deux départements d’identifier et de neutraliser rapidement les menaces potentielles, tant internes qu’externes, en instaurant un périmètre de sécurité au coeur de l’entreprise. Ensemble, ils éviteront alors une cyberattaque coûteuse à tous les niveaux de l’organisation.
Adopter une approche priorisant la sécurité de l’entreprise
Il se peut que cela ne soit cependant pas suffisant. Il faut en effet avant tout éduquer les employées et leur expliquer l’impact d’un environnement numérique en constante mutation. La majorité des entreprises a déjà été incitée à changer de « cyber-attitude », mais comment changer sans conseils pratiques ?
En marge de cette sensibilisation à la cybersécurité, dont tout employé devrait bénéficier, les équipes financières doivent avant tout être formées pour signaler dès que possible toute vulnérabilité ou toute attaque potentielle, et comprendre les conséquences de leurs cyberactions sur la sécurité de l’organisation et de ses données. Ils doivent en effet constamment penser à l’incidence possible de leurs activités et si elles augmentent la vulnérabilité de l’entreprise. Il faudra, par exemple, envisager d’inviter les RSSI aux réunions de développement stratégique ou commercial, ou peut-être même aux conseils d’administration, ce qui leur permettra de se tenir informés des dernières initiatives et d’indiquer les éventuels risques de sécurité d’un point de vue business.
Évaluer l’exposition aux risques
Actuellement, le processus d’allocation des budgets dédiés à la cybersécurité n’est pas une science exacte, et les entreprises ne savent pas encore très bien à qui assigner cette tâche. Bon nombre d’organisations fonctionnent notamment sans évaluer leur exposition aux risques, et ignorent dès lors les pertes financières qu’une cyberattaque pourrait causer. Cependant, compte tenu de l’impact potentiel sur la viabilité de l’entreprise, les directeurs financiers et administratifs devraient réagir au plus vite et s’informer précisément sur le niveau de vulnérabilité de leur entreprise. Ils pourront ainsi souscrire des polices d’assurance qui couvrent les attaques, mais aussi adapter le budget alloué à la cybersécurité aux besoins actuels de l’organisation.
La cybersécurité ne peut donc plus être considérée comme un simple risque technologique, puisqu’elle joue aujourd’hui un rôle capital dans la pérennité de l’entreprise. Selon la dernière enquête d’IBM sur le coût d’une compromission de données, une cyberattaque s’élève ainsi en moyenne à 3,62 millions de dollars. La virulence des intrusions ne cessant d’accroitre, les organisations ne peuvent plus se contenter d’être réactives pour éviter des dégâts onéreux et irrévocables. Du fait de sa vision globale sur les activités et les ressources de l’entreprise, il est essentiel d’impliquer davantage le département financier dans la mise en place d’une stratégie solide, pragmatique et proactive afin de lutter efficacement contre les cybermenaces.
Seulement, cela ne fonctionnera que s’il travaille conjointement avec les équipes chargées de la cybersécurité, via des discussions claires et pertinentes, pour au final éduquer l’ensemble de leurs collaborateurs sur les bonnes pratiques à adopter. Bien qu’aucune protection contre les cyberattaques ne soit infaillible – celles-ci étant de plus en plus sophistiquées -, ces étapes sont essentielles pour gérer les risques et protéger efficacement contre les cybermenaces. Après tout, comme le disait Ginni Romety, le PDG d’IBM : « le cybercrime est la plus grande menace qui vise les entreprises du monde entier ». C’est pourquoi il vaut mieux rester à l’écoute !
Source : Lesechos.fr
Consultez notre brochure Risk@Cyber
Testez votre entreprise face aux risques cyber : Remplissez ce questionnaire, en quelques minutes. Vous obtiendrez le résultat de votre évaluation en 24h !