Selon l’AMRAE (association du management des risques et assurances de l’entreprise), les risques liés à la cybersécurité sont passés en 2017 de la 7ème place au top 3 des principales préoccupations des risk managers. Ce qui n’est pas vraiment étonnant : ces dernières années, la production, l’utilisation et le stockage de la data sont devenus des sujets stratégiques pour les entreprises.
Avec la transformation numérique des entreprises, le sujet de la sécurité des données touche désormais tous les métiers, ce qui multiplie encore les risques qui y sont liés. Par ailleurs, la pression réglementaire oblige les organisations à structurer la protection des données, comme ce fut le cas en mai 2018 avec la mise en œuvre du RGPD.
A lire également : notre article sur la RGPD et les données sensibles.
Autre phénomène croissant : les cyberattaques, de plus en plus fréquentes et qui prennent des formes nouvelles, empruntent de nouveaux vecteurs, pour pirater, détruire ou kidnapper les données. Avec une rapidité de propagation phénoménale, telle qu’on l’a connue en 2017. Souvenez-vous de « WannaCry » : a elle seule, cette attaque a fait 200 000 victimes en 2 jours, parmi lesquelles le système de santé britannique, Telefonica en Espagne et Renault en France, pour ne citer que les plus grands.
A lire : Voici les 3 cyberattaques auxquelles votre entreprise peut être exposée.
Or, encore aujourd’hui, 74% des dirigeants se disent vulnérables aux cyberattaques*. Il est donc urgent de réagir, et de repenser le Risk Management dans sa globalité, en y intégrant la cybersécurité et en la mettant au cœur de la stratégie de sécurité numérique. Chez Blue Soft, nous avons des fondamentaux en matière de Cybersécurité, que nous partageons ici avec vous.
Gérer les risques de cybersécurité de manière globale
La première chose à considérer, et nous insistons sur ce point, c’est que la cybersécurité n’est pas un élément « à part » du Risk management, mais bien un sujet à intégrer à l’ensemble des risques auxquels une entreprise est confrontée. Et c’est un sujet qui nécessite une gestion holistique, qui englobe la technologie, la gouvernance et la formation.
La cybersécurité nécessite une vigilance permanente et partagée par tous. Mais comment faire ?
Créer une Culture Cyber Sécurité (CCS)
Nous sommes convaincus que la sécurité est une chose à intégrer profondément à la culture de l’organisation. Il ne s’agit pas de se limiter à la sensibilisation, il faut que les collaborateurs soient réellement impliqués dans une responsabilisation commune. Il faut de la formation bien sûr, mais ce n’est qu’une étape, cruciale certes, mais incomplète en soi.
Pour concevoir cette culture de la sécurité, il conviendra d’identifier les risques propres à l’entreprise, à son métier, aux rôles et responsabilité des salariés. Mieux on les connaît, plus on est en mesure d’en limiter la portée et de préparer des mesures correctives. Les maillons faibles doivent être repérés et réparés.
Selon l’ENISA, le concept de Culture Cyber Sécurité (CCS) se réfère aux connaissances, croyances, perceptions, attitudes, suppositions, normes et valeurs des personnes relativement à la cybersécurité, et à la manière dont tous ces attributs se manifestent dans le comportement de ces personnes vis-à-vis des technologies informatiques et numériques. Le CCS englobe des disciplines connues, comme la sensibilisation à la cybersécurité et les référentiels de sécurité de l’Information. Mais son périmètre et son application sont plus larges, incluant les considérations de sécurité numérique dans les fonctions, habitudes et comportements des personnels, les encapsulant ainsi dans leurs activités quotidiennes.
Il existe plusieurs facteurs derrière l’émergence du CCS comme un véritable besoin dans les organisations. Ainsi, la façon selon laquelle une organisation se comporte dépend fortement des croyances, valeurs et actions partagées par son personnel, et ceci inclut leur attitude vis-à-vis de la cybersécurité.
Il est désormais reconnu que les campagnes de sensibilisation aux risques cyber ne sont pas, à elles seules, suffisantes pour protéger une entreprise d’attaques cyber de plus en plus élaborées. Il existe également une intime conviction que les mesures techniques de sécurité n’existent pas dans le « vide », et doivent impérativement s’inscrire harmonieusement dans les processus métier afin d’éviter que les collaborateurs ne se retrouvent tiraillés entre « remplir leur mission » et « se conformer à la politique de sécurité ».
Le rôle de l’expert en Risk Management va être d’accompagner et d’éclairer les décisions du Top Management sur l’ensemble de ces éléments, en gardant cette vision globale.
La cyber sécurité nécessite de l’itération dans votre risk management
Autre point essentiel de la gestion des risques de l’entreprise : l’itération. Il est vrai qu’avant la digitalisation de l’entreprise les choses étaient relativement stables. La plupart du temps ils suffisait de poser les bases, d’écrire les règles et cela pouvait suffire.
Évidemment à présent ce n’est plus le cas, et une règle de sécurité informatique valable un jour peut être obsolète le lendemain, voire nécessiter une remise à plat complète de la gestion du système d’information. Il faut notamment prendre en compte de façon permanente l’évolution du risque et ses dynamiques :
- L’évolution technologique : les nouvelles sources de datas, les nouveaux types de menaces
- L’évolution des relations avec les clients et fournisseurs
- La multiplication des échanges avec les sous-traitants, l’hébergement des données, les plateformes d’échange utilisées etc.
Tous ces éléments sont en mouvement, la transmission d’informations prend des formes et empruntent des chemins qui changent constamment. Difficile d’en tenir compte en permanence ? C’est pourtant absolument indispensable !
Sur le même sujet, vous pouvez également lire notre article les 5 conseils à suivre en risk management.
Quelle méthodologie en pratique ?
Si vous avez conscience des enjeux de la cybersécurité dans votre entreprise, il n’est pas toujours simple de la mettre en œuvre concrètement. Une expertise extérieure est alors précieuse, et constitue un apport à la fois méthodologique, de connaissance et compréhension des risques, un œil extérieur et objectif à l’ensemble du processus. Voici en synthèse les grandes étapes d’un accompagnement.
Commencer par une évaluation des risques
Tout commence par la construction d’une base de référence qui va permettre de mesurer le risque, et définir les améliorations à conduire.
Au cours de cette étape, on sollicitera l’arbitrage des décideurs quant aux risques mesurés : réduction, transfert, acceptation ou suppression.
Etablir un programme de cybersécurité personnalisé
Il n’existe évidemment pas de programme type, chaque entreprise doit définir les politiques, les pratiques, les plans d’intervention, la consignation des risques etc. qui soit adaptée à sa situation, sa taille, ses implantations, ses échanges….
Instaurer une protection efficace
Des outils doivent être positionnés pour surveiller l’ensemble du système d’information et y détecter les tentatives d’intrusion, selon un processus défini et adapté.
Nommer un Chef de la Sécurité de l’Information
Il ne peut pas y avoir une quantité illimitée de référents, mais un Chef de la Sécurité de l’Information, qui s’assurera du contrôle, de la formation, du respect du processus par tous.
Former les employés à la cybersécurité
Bien sûr la formation reste indispensable : les collaborateurs doivent être informés des nouveaux protocoles, et il faudra définir des publics sensibles ayant besoins de modules complémentaires, qui seront des relais de référence et seront garants du processus, sous la responsabilité du chef de la sécurité de l’information.
Les entreprises ont tendance à croire que l’essor des nouvelles technologies numériques et des systèmes d’information n’apporterait que des avantages. Il se trouve que les organisations criminelles partagent cet avis et voient dans le cyber une magnifique opportunité pour diversifier leurs actions malfaisantes. Ainsi, elles se sont attelées à attaquer des entreprises de toutes tailles, tout en gagnant exponentiellement en compétences, en sophistication et en professionnalisme. Parallèlement elles bénéficient des caractéristiques inhérentes à l’Internet, où la traçabilité et l’attribution des attaques restent extrêmement ardues.
La technologie est essentielle, mais ne peut pas suffire à éviter toutes les menaces en provenance du cyber espace… Pour être vraiment global et efficace, un programme de cybersécurité doit insuffler une véritable culture de sécurité dans l’entreprise, partagée par tous, à toutes les strates de l’entreprise, dirigeants comme employés. La stratégie de défense, de compétitivité, voire de survie de votre organisation en dépend.
