Le cabinet d’audit et de conseil KPMG a publié un rapport détaillant plusieurs facteurs qu’il convient d’examiner en priorité ; nombre de ces facteurs concernent aussi bien les PME que les grandes entreprises. Ces éléments peuvent apporter une aide précieuse aux RSSI pour mieux se préparer aux cyberattaques. Prenons le temps d’analyser ces principaux facteurs.

1. Élargir le dialogue stratégique entourant la sécurité
La sécurisation des ressources critiques, des systèmes et des données sensibles de l’entreprise et des clients n’est plus un problème qui concerne uniquement les professionnels de la sécurité et de l’informatique. La gestion et l’atténuation des risques visant à favoriser la viabilité stratégique et la durabilité opérationnelle de l’organisation doivent être une responsabilité partagée.

Les chefs d’entreprise sont désormais conscients de l’importance de la gestion des cyber-risques. Une stratégie réussie commence au niveau du conseil d’administration et des cadres supérieurs.

Externaliser la prise de décisions stratégiques et la gestion des risques, en particulier des risques inhérents à la transformation numérique ne suffit plus. Les outils de sécurité modernes ont leurs limites en termes de réduction des risques dès lors que les objectifs de l’entreprise n’incluent pas l’intégration d’un cadre de sécurité robuste.

Pour un meilleur alignement de la cybersécurité avec les objectifs commerciaux stratégiques des organisations, les RSSI et leurs équipes doivent aider les cadres supérieurs de leur entreprise à prendre pleinement conscience de ce qui relève par définition de la sécurité et de la confidentialité.

1. Adapter la sécurité au cloud
Comme le souligne le rapport, la cybersécurité et la sécurité du cloud se confondent de plus en plus. Tous les principes qui s’appliquent à la sécurité sur site - protection des données, gestion des identités et des accès, infrastructure et gestion des vulnérabilités - sont également applicables au cloud.
Ce qui diffère, explique KPMG, c’est la technologie. Les outils ont changé avec la généralisation de l’adoption du cloud. L’environnement cloud implique un recours accru à l’automatisation, laquelle est nécessaire pour bon nombre d’étapes, du déploiement à la surveillance en passant par la remédiation.

Les RSSI et leurs équipes doivent travailler avec leurs partenaires commerciaux et prestataires afin de faire en sorte que tout le monde comprenne bien les exigences de sécurité spécifiques au cloud et collaborer avec des fournisseurs de cloud afin d’éviter toute erreur de configuration, qui sont souvent la source des vulnérabilités exploitées par les attaquants.

1. Mettre l’identité au centre de sa stratégie cyber avec l’approche « Zero Trust »
Avec la hausse considérable du télétravail et le recours au e-commerce, dû à la pandémie, la protection des données sensibles n’a jamais été aussi complexe. Les organisations doivent envisager d’adopter un état d’esprit et une architecture basés sur la « confiance zéro » (Zero Trust) - en plaçant la gestion des identités et des accès (IAM) au cœur de leur stratégie.

Les modèles IAM actuels, initialement créés pour gérer les identités numériques et les accès des utilisateurs au sein d’organisations distinctes, sont aujourd’hui repensés pour offrir un niveau adéquat de résilience et fournir des fonctionnalités critiques d’authentification convenant à des environnements fédérés, privés, publics ou multi-cloud, indique le rapport.

En tant qu’approche automatisée pouvant contribuer à éliminer des processus manuels coûteux, à réduire la surface d’attaque et à établir des politiques et des principes de cybersécurité, le modèle de sécurité Zero Trust est de plus en plus considéré comme une approche viable.

1. Tirer parti de l’automatisation de la sécurité
Certains des principaux avantages potentiellement offerts par l’automatisation se révèlent lorsque l’accent est mis sur des implémentations conçues pour aider à résoudre les problèmes des entreprises, mentionne le rapport. Par exemple : valoriser les ressources humaines grâce à une orchestration plus efficace des tâches ordinaires ; s’assurer un avantage concurrentiel dans des domaines où la vitesse est importante ; et analyser de vastes ensembles de données, souvent non structurés.

Alors que le paysage des menaces poursuit son expansion et gagne en complexité, et que la pénurie de talents dans le domaine de la cybersécurité continue de s’aggraver, les entreprises vont être amenées à s’appuyer de plus en plus sur des processus de sécurité automatisés. Elles pourront ainsi libérer des ressources en automatisant certaines fonctions de sécurité, notamment celles liées aux tâches routinières et répétitives.

Des tâches qui étaient autrefois assurées par des professionnels hautement qualifiés, telles que la recherche de vulnérabilités, l’analyse de journaux de logs et la mise en conformité peuvent être standardisées et exécutées de manière automatique, avec pour effet de réduire les temps de détection et de réponse aux incidents et d’offrir des possibilités d’évolutivité.

1. Sécuriser au-delà des limites
Les entreprises cherchent à engager la transformation numérique de leurs opérations, et cela implique d’adopter une approche centrée sur les données, au moyen de laquelle les données sont régulièrement partagées au sein d’un écosystème connecté de partenaires.
Cela offre aux cybercriminels de nombreuses possibilités de compromettre les systèmes et les données, et les RSSI doivent sécuriser leurs propres organisations tout en encourageant le renforcement de la cybersécurité de l’ensemble de sa chaîne de valeur (supply chain).

D’après le rapport, les entreprises doivent évaluer correctement les politiques de sécurité organisationnelle des fournisseurs potentiels ainsi que la sécurité intégrée aux produits et aux services auxquels elles accéderont. Cela requiert une diligence remarquable de la part de chaque partenaire de l’écosystème. Les RSSI sont confrontés à la difficile tâche de passer à une approche proactive plaçant la surveillance continue, l’utilisation d’outils basés sur l’intelligence artificielle, les renseignements sur les menaces et le Zero Trust au cœur du modèle de sécurité de leur écosystème.

1. Recadrer la conversion autour de la cyber-résilience
Beaucoup d’entreprises ont déjà largement intégré le numérique ; elles doivent par conséquent estimer leur capacité à se remettre des effets potentiels d’un incident de cybersécurité majeur. Le rapport encourage les RSSI et leurs équipes à initier un dialogue avec les dirigeants, qui permettra de déterminer si l’organisation est en mesure d’absorber une cyberattaque ou de s’en remettre en l’espace de quelques jours.

Les entreprises devraient évaluer leur capacité à maintenir leurs opérations dans le cas où un incident se poursuivrait pendant plusieurs semaines. Elles doivent se poser des questions telles que « À quel point l’entreprise est-elle préparée à interrompre son activité pendant quatre à six semaines à cause d’une cyberattaque ? », « Dans quelle mesure une interruption affecterait-elle le service client ? », « Qu’impliquerait une interruption pour les centres d’appel et de distribution ? », « Comment une interruption affecterait-elle les exigences réglementaires et juridiques auxquelles l’entreprise est soumise ? », etc.

« La résilience va de pair avec une évaluation des principaux processus opérationnels de l’entreprise et nécessite une stratégie pour les protéger », conclut le rapport. « Compte tenu de la réalité actuelle du marché, la plupart des entreprises seront un jour ou l’autre confrontées à un événement de cybersécurité majeur. Dans ce contexte, en gardant à l’esprit l’évolution de l’état d’esprit des professionnels de la sécurité, de nombreux RSSI accordent une importance égale à la réduction de la probabilité de l’apparition d’un événement de cybersécurité et à la gestion des conséquences d’un tel évènement. »