Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyber-résilience : le nouvel enjeu des RSSI ?

octobre 2018 par Emmanuelle Lamandé

La sécurité va au-delà de la protection en entreprise, et passe aussi par sa capacité de cyber-résilience. Celle-ci nécessite une approche basée à la fois sur la cybersécurité, la continuité d’activité et la résilience d’une organisation. Une tâche ardue, surtout au vu de la recrudescence des attaques, mais pas impossible ! Où en sont aujourd’hui les entreprises dans leurs démarches ? A l’occasion des Assises de la Sécurité, Accenture Security-Avanade est venu partager, aux côtés du CIGREF et du CESIN, les résultats de sa dernière étude* consacrée à la cyber-résilience et livrer ses conseils en la matière.

Pour Accenture Security-Avanade, « la cyber-résilience associe la cybersécurité, la continuité de l’activité et la résilience de l’entreprise. Elle applique des stratégies de sécurité fluides pour répondre rapidement aux menaces, dans le but de minimiser les dommages et d’assurer la continuité opérationnelle en cas d’attaque. »

Le groupe a récemment mené une étude relative à la cyber-résilience, auprès de 4 600 décideurs de la sécurité dans 15 pays*, afin de déterminer où en sont globalement les entreprises dans leurs démarches. Gilles Casteran, Managing Director - Accenture Security-Avanade, nous présente les principaux résultats de cette étude :

- Les équipes de sécurité gagnent en efficacité, mais il reste encore beaucoup faire. D’autant qu’Accenture recense une hausse considérable du nombre d’attaques ciblées cette année par rapport à l’an passé (232 en 2018, contre 106 en 2017). Par contre, bonne nouvelle, bien qu’elles soient en augmentation, 87% des attaques ciblées ont été contrées cette année avec succès, contre seulement 70% en 2017. Ces chiffres démontrent une amélioration des capacités de cyber-résilience ; par contre les menaces continuent elles aussi à croître et à être plus sophistiquées.

- Les entreprises pourraient être cyber-résilientes dans deux à trois ans, mais la pression des menaces augmente de jour en jour. Si 90% des répondants anticipent une croissance des investissements en matière de cybersécurité au cours des trois prochaines années, seulement 31% pensent que celle-ci sera significative.

- Les nouvelles technologies sont essentielles, mais les investissements ont pris du retard. Si 83% des répondants estiment que les nouvelles technologies sont essentielles, seulement deux sur cinq font état d’investissements dans les domaines de l’IA, du machine learning et de l’automatisation.

- La confiance reste forte, mais une approche plus proactive de la cybersécurité est requise. Si plus de 80% des répondants ont confiance en leurs capacités de surveillance des violations, 71% estiment en revanche que les cyberattaques restent malgré tout un domaine assez opaque, et ne savent ni quand ni comment celles-ci pourraient affecter leur organisation. L’impact que pourrait avoir une cyberattaque reste donc encore inconnu pour la majorité des entreprises.

- Les directions et conseils d’administration sont plus impliqués sur les enjeux de la cybersécurité, mais le rôle du CISO doit évoluer. 27% des budgets de cybersécurité sont autorisés par le conseil d’administration, et 32% par le PDG.

Au vu de ces résultats, on peut donc dire que les entreprises ont fait des progrès dans leurs capacités de défense face aux cyberattaques, malgré l’augmentation du nombre d’attaques ciblées. Les récents investissements en la matière ont donc porté leurs fruits, même si beaucoup de chemin reste encore à parcourir…

Entraîner toute la chaîne de l’organisation de manière régulière

Pour être efficiente, la cyber-résilience passe irrémédiablement par la mobilisation de tous les acteurs sur ces sujets et leur acculturation. En effet, 97% des attaques utilisent le facteur humain pour arriver à leurs fins, souligne Laurent Benoit, Security Practice Manager - Accenture Security-Avanade. Comment faire pour gérer ce facteur ? Selon lui, il faut éduquer les utilisateurs et les directions générales, mais avant tout il est impératif de changer d’état d’esprit. Outre l’éducation, cela passe aussi par de la communication.
Chaque utilisateur a son rôle à jouer en matière de sécurité. Même si vous faites appel à une équipe professionnelle et/ou à des prestataires pour mettre en œuvre votre sécurité, celle-ci passe aussi par la conscience des risques de chaque utilisateur au sein de votre entreprise. Leur éveil, conscience et compréhension des risques est indispensable. Quels que soient les systèmes de protection que vous aurez mis en place, à un moment donné ce sera l’utilisateur qui, s’il n’a pas conscience des risques, cliquera sur un lien malveillant, ouvrira une pièce jointe compromise, ou divulguera une information sensible à la mauvaise personne sans penser mal faire…

De plus, les entreprises savent aujourd’hui qu’elles seront toutes un jour ou l’autre victimes d’attaques, la principale question réside donc, outre bien évidemment toutes les mesures de prévention et de protection mises en œuvre en amont, dans ses capacités de détection et de réaction. La cyber-résilience passe aussi par sa capacité à gérer la crise, et pour ce faire, rien de mieux que de s’entraîner en situations réelles.
Il est important de mettre régulièrement les collaborateurs en situation de crise. Ce type d’exercice permet d’apprendre aux utilisateurs à se débrouiller en situations critiques, à restaurer leurs systèmes et, de fil en aiguille, à devenir résilients. Des tests techniques doivent être effectués de manière régulière, mais il faut aussi aller au-delà : plonger ses collaborateurs en situation critique et les faire travailler en mode dégradé. Le « Team building » s’avère en ce sens une méthode efficiente pour leur apprendre à évoluer en « mode crise » et à travailler de concert pour trouver à chaque problème sa solution.

Henri d’Agrain, Directeur Général du CIGREF, souligne également l’importance d’un entraînement régulier. Il est essentiel que chaque entreprise imagine et mette en place différents scénarios d’incidents et de crises, puis qu’elle les mette en scène au sein de l’ensemble de la structure. A titre d’exemple, les marins s’entraînent tous les jours à éteindre des incendies, car ils ont depuis longtemps identifié ce risque comme majeur dans leur environnement… Chacun, à son niveau et dans son contexte, doit adapter sa gestion des risques et sa gestion de crise.

Il insiste aussi sur la nécessité d’entraîner l’ensemble de la chaîne de l’organisation. Car on ne peut pas être cyber-résilient si on ne s’entraîne pas régulièrement avec l’ensemble des acteurs, y compris la direction générale. Le langage utilisé et les éléments de compréhension de ces phénomènes sont également, selon lui, prépondérants pour que les collaborateurs et les décideurs comprennent de quoi on parle.

Apprendre à faire avec les moyens du bord…

Alain Bouillé, Président du CESIN, considère également qu’il faut régulièrement entraîner les métiers à travailler en mode dégradé et en situation de crise. En cas d’incident, qu’il s’agisse d’une cyberattaque ou autre, ayant un impact direct sur le fonctionnement de son entreprise, sur les outils et l’activité des métiers, la production…, les équipes doivent être capables et en mesure d’utiliser des systèmes D, le tout sans tomber dans la panique. En situation de crise, on peut être amené à faire tout ce que généralement le RSSI interdit, comme par exemple utiliser des messageries personnelles, de type gmail, des réseaux sociaux, WhatsApp… Quand une entreprise se retrouve démunie de son informatique, de sa téléphonie… et que son activité, pour ne pas dire sa survie, en dépend, elle doit malheureusement faire avec les moyens du bord. N’attendez pas que cela vous arrive pour commencer à penser à ce que vous feriez dans une telle situation. Envisagez tout type de cas de figure et la démarche à suivre dans tel ou tel contexte. Il faut aussi apprendre aux entreprises et aux métiers à réfléchir par eux-mêmes à la façon dont ils pourraient faire pour se passer de l’informatique. Cela fait partie de la cyber-résilience. Définissez les moyens et les outils de communication qui seront à votre disposition le temps de la gestion de crise et d’un retour à la normale. Et surtout, une fois que vous aurez défini votre plan de secours, ne le gardez pas pour vous ! Partagez-le avec les personnes concernées afin qu’elles puissent intégrer ces démarches, s’entraîner et savoir quoi faire le moment venu.

Quelques clés pour renforcer sa cyber-résilience

Voici enfin quelques exemples d’actions que les entreprises peuvent, selon Accenture Security-Avanade, mettre en œuvre pour renforcer leur cyber-résilience, comme par exemple :
- Durcissez l’existant et appliquez les règles de sécurité (hygiène informatique, sensibilisation…),
- Identifiez vos actifs les plus précieux et renforcez leur sécurité ;
- Anticipez et mettez en place une veille sur les menaces, une veille géopolitique… ;
- Adoptez la perspective de l’attaquant durant vos audits et tests d’intrusion ;
- Déployez des technologies de rupture ;
- Automatisez vos systèmes de défense ;
- Testez grandeur nature vos systèmes et votre organisation : bien que dans la réalité chaque crise soit différente, la simulation régulière de crises est un très bon exercice. Il faut également préparer la communication de crise et savoir de quels moyens les équipes disposent en cas de crise : quel budget, qui appeler… ;
- Et surtout préparez-vous en fonction du pire scénario !


* Cette enquête a été menée dans 15 pays auprès de 4 600 décideurs spécialistes des questions de sécurité, travaillant pour des entreprises dont le chiffre d’affaires est supérieur à un milliard de dollars US, afin de dresser un bilan de l’efficacité des efforts de renforcement de la sécurité et de l’adéquation des investissements existants.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants