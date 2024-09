Les niveaux de maturité de la culture de la sécurité, en Europe

septembre 2024 par Martin Kraemer, Expert en sensibilisation à la cybersécurité chez KnowBe4

La culture de la sécurité n’est pas comprise partout de la même façon en Europe et dans ses secteurs d’activité. Si certaines organisations ont bien compris que la culture de la sécurité est à la fois un processus et une mesure stratégique, beaucoup n’ont pas encore décidé de la tactique à appliquer pour atteindre cet objectif. Celles qui ont entrepris la démarche ont pris conscience de l’importance de mettre en place certains comportements de sécurité pour développer une culture de la sécurité. Elles reconnaissent que dans une culture de la sécurité proactive, les collaborateurs ont assimilé qu’un comportement sûr ne se limite pas à participer à des simulations d’hameçonnage. Ces collaborateurs sont profondément motivés et tiennent à participer à la stratégie de sécurité de leur organisation.

La culture de la sécurité est définie comme l’ensemble des idées, des coutumes et des comportements sociaux qui influencent la sécurité d’une organisation et réduisent le risque humain. Dans les entreprises dotées d’une bonne culture de la sécurité, les collaborateurs partagent de manière proactive les informations relatives à la cybersécurité, participent volontiers à des formations et comprennent que la cybersécurité est une priorité pour l’entreprise.

Toutefois, on note des niveaux de maturité de la culture de la sécurité très différents au sein de l’Europe. Même si l’humain reste le principal vecteur d’attaque dans toutes les organisations, cette dimension semble être insuffisamment prise en compte, de même que les attaques spécifiques pouvant cibler des individus.

Dans la plupart des cas, les organisations européennes sont conscientes qu’elles doivent intégrer les individus à leur défense afin de renforcer leur résilience. La sensibilisation à la sécurité n’est plus perçue comme un exercice de routine ayant pour seul but de satisfaire des exigences de conformité et est de plus en plus considérée comme une initiative stratégique encourageant une mentalité de sécurité au sein de l’organisation. Dans les organisations où la cybersécurité n’est pas estimée à sa juste valeur et ne fait pas l’objet d’une collaboration entre les différents services, les professionnels de la sécurité ont du mal à se faire entendre.

Principales exigences réglementaires

L’UE est une puissance motrice majeure en matière de législation et de réglementation déterminantes pour l’évolution de la cybersécurité en Europe. Traditionnellement, les initiatives législatives ont pour but de défendre les droits fondamentaux de la personne à une époque marquée par des avancées technologiques très rapides. Comme d’autres régions, l’UE a également entrepris de protéger les entreprises contre les menaces à la cybersécurité en mettant en place des projets de partenariats publics-privés, auxquels viennent s’ajouter des réglementations de plus en plus sévères dans ce domaine. Ces initiatives restent de puissants instruments pour l’avancée de la cybersécurité et de la protection des données sur le marché.

Le RGPD a eu des retombées dans le monde entier. En vigueur dans toute l’Union européenne, il a inspiré des réglementations similaires dans d’autres régions du monde. Le RGPD établit un équilibre entre la collecte des données et leur traitement en donnant la priorité aux intérêts des individus. Des exigences strictes en matière de cybersécurité sont également appliquées par le biais de réglementations sectorielles, telles que NIS2. D’ici octobre 2024, les organisations gérant des infrastructures critiques devront avoir mis en œuvre cette directive qui impute la responsabilité de la cybersécurité à leur conseil d’administration. Cette directive tient également les organisations responsables de la sécurité de leurs chaînes d’approvisionnement.

Le règlement sur la résilience opérationnelle numérique du secteur financier (DORA, pour Digital Operational Resilience Act) entrera en vigueur en janvier 2025. Il oblige les organisations à prouver dans quels délais elles peuvent récupérer d’une cyberattaque et exige qu’elles mettent en place une formation pour leurs employés.

L’UE applique de même une approche exhaustive pour réguler l’utilisation de l’IA. Un accord provisoire a été conclu en décembre 2023 sur la Législation européenne sur l’intelligence artificielle, mais celle-ci n’entrera pas en vigueur avant 2025. La législation sur l’IA définit une approche de l’IA fondée sur le risque, avec plusieurs catégories correspondant à un risque inacceptable, un risque élevé, un risque limité ou un risque minimal. Les amendes peuvent être colossales, égales à 35 millions d’euros ou 3 % du revenu brut (le montant le plus élevé des deux étant retenu).

S’il est assez rapide de convertir les nouvelles réglementations en politiques internes, une fois ces dernières documentées, signées et diffusées, les organisations se retrouvent confrontées aux défis de la gouvernance de la cybersécurité. La gouvernance est vitale pour garantir que les organisations et leurs dirigeants homogénéisent leurs stratégies et leurs objectifs de cybersécurité, en s’appuyant sur des processus normalisés, une mise en application solide, des responsabilités claires et une supervision par les responsables seniors, ainsi qu’en se dotant des ressources nécessaires. Pour renforcer réellement leur stratégie de cybersécurité, les organisations doivent mettre en œuvre une gouvernance complète. Faute de prendre ces mesures, la conformité ne restera qu’un banal exercice de routine.

Événements de sécurité fréquents

L’ENISA signale une augmentation de la qualité et du nombre des cyberattaques et de leurs conséquences, une hausse brutale des attaques par rançongiciel en 2023, ainsi que des influences résultant du climat géopolitique. Les trois principales menaces étaient les rançongiciels, les programmes malveillants et l’ingénierie sociale. L’année 2023 a également été caractérisée par une professionnalisation accrue des offres de cybercriminalité en tant que services, avec une diversification des tactiques et des méthodes permettant de trouver d’autres moyens d’infiltrer les victimes et d’extorquer des fonds. L’ingénierie sociale a connu un essor considérable, l’hameçonnage restant le principal vecteur d’attaque. Les attaques physiques se sont également multipliées.

Comme l’a montré la guerre entre la Russie et l’Ukraine, la mésinformation et la désinformation sont de nouveau en pleine progression. En raison des prochaines élections de 2024 et de l’arrivée d’outils d’IA générative, la quantité et la qualité de la désinformation vont continuer de faire peser une menace sur la société. L’IA générative ouvre également la voie à des contrefaçons médiocres et à l’hameçonnage vocal, deux menaces de plus en plus courantes visant les organisations privées et qui ont permis d’extorquer des fonds.

La culture de la sécurité varie selon les régions du monde. Une approche cloisonnée en silos n’est pas viable. Les gouvernements doivent collaborer plus étroitement entre eux et avec les organismes de régulation pour élaborer la législation, mais aussi pour décrire et intégrer les mesures concrètes à appliquer pour créer une culture de la sécurité forte.

De leur côté, les organisations doivent étudier le défi humain et ne pas le traiter comme un problème technologique. Contrairement aux ordinateurs, appliquer un « correctif » aux êtres humains n’est pas simple et exige un effort soutenu de sensibilisation et de formation.