Les raisons pour lesquelles la cybersécurité est le travail de tous et les 4 étapes à suivre pour changer la donne

Les directeurs de la sécurité de l'information doivent repenser la gestion des risques de cyberattaque et en faire une priorité organisationnelle.

Normalization_v2_1440x840.jpg

Principaux points abordés dans cet article :

    • Les risques de cyberattaque ne sont pas exceptionnels : ils s'inscrivent dans la lignée de tout autre risque pesant sur les entreprises.
    • Les directeurs de la sécurité de l'information doivent consacrer en priorité leurs budgets aux personnes et aux processus avant la technologie.
    • Grâce à l'instauration d'une culture de l'ouverture à propos de la sécurité, les entreprises acceptent et gèrent mieux les risques.

Chaque année, les entreprises augmentent leur budget dédié à la cybersécurité. Collectivement, elles ont investi plus de 262 milliards de dollars en 2021, contre seulement 3,5 milliards de dollars il y a 20 ans. Or, tous les ans, le nombre d'attaques, de violations et de pertes est en hausse. Utiliser les mêmes vieilles tactiques en espérant obtenir des résultats différents n'est pas une approche rationnelle pour gérer les risques liés à la cybersécurité. 

Bien entendu, certaines techniques de sécurité sont toujours essentielles pour réduire l'impact des attaques, notamment la définition des niveaux acceptables de risques, l'utilisation d'une assurance responsabilité civile pour transférer la responsabilité de certains risques et la limitation des dommages en cas d'attaques. Cependant, les responsables d'entreprise doivent repenser leur stratégie organisationnelle. La sécurité des sociétés est trop importante pour être le seul ressort d'une poignée de spécialistes, comme cela a été le cas pendant des années. Elle doit faire partie intégrante du travail de chaque membre du personnel au sein de l'entreprise. 

Voici quatre stratégies que les directeurs de la sécurité de l'information doivent envisager afin de mieux gérer les risques de cyberattaques.

1. La normalisation des risques liés à la cybersécurité

Tout d'abord, les entreprises doivent changer leur vision des risques de cyberattaques. Traditionnellement, ces dernières sont considérées comme des phénomènes exogènes uniques distincts des autres aspects de la gestion des risques au sein des entreprises. Cette vision doit évoluer. 

Les entreprises sont exposées à des risques de cyberattaque bien réels. Ces derniers doivent donc être inscrits dans le cadre de gestion des risques de toutes les entreprises et gérés à l'aide de méthodologies parfois identiques à celles utilisées pour modéliser les risques financiers et opérationnels. Les responsables de la sécurité doivent pouvoir dormir sur leurs deux oreilles la nuit à l'instar des DAF et des directeurs d'exploitation.

De bien des manières, la cybersécurité n'est pas un problème technologique, mais organisationnel. Dans les entreprises, les procédures de sécurité doivent être tout aussi essentielles que celles dédiées au recrutement du personnel ou à la conception de formidables expériences pour la clientèle. Elles doivent aussi être considérées comme toute autre fonction commerciale nécessaire et accompagnées d'effectifs et de financements proportionnels. 

En outre, la sécurité doit s'appuyer davantage sur une approche proactive que réactive. Tout comme une entreprise n'attendrait pas le lancement d'un produit pour embaucher son équipe commerciale, elle ne devrait pas attendre d'être victime d'un accident grave pour débloquer des fonds dédiés à l'instauration d'une équipe chargée de la cybersécurité et pour mettre en place les processus adéquats.

Il est évident que les entreprises continueront à être la cible de violations graves. Par conséquent, la question essentielle qu'elles doivent se poser concerne les mesures raisonnables à prendre pour éviter ces situations et l'efficacité avec laquelle elles sont capables d'y remédier. 

2. Une priorité donnée en premier aux personnes, puis aux processus et aux technologies

Ensuite, les directeurs de la sécurité de l'information doivent revoir la manière dont les ressources sont utilisées. Leurs budgets doivent s'inscrire dans un ensemble clairement défini de priorités au sein duquel la technologie ne devrait pas, dans la plupart des cas, occuper la première place. La première priorité est le personnel. L'entreprise doit le former aux bonnes pratiques en matière de sécurité, lui permettre d'acquérir des connaissances dans ce domaine ou de mettre à jour ses compétences et renforcer sa culture de la sécurité.

La priorité d'investissement suivante doit être les processus internes. Par exemple, l'entreprise a-t-elle procédé à une simulation minutieuse des mesures à mettre en place en cas d'attaque par ransomware ? Il est bien plus judicieux de planifier avant toute crise les communications internes et externes, la continuité des activités et les interactions éventuelles avec les pirates informatiques, mais aussi de déterminer si de tels contacts sont nécessaires.

Enfin, afin de diminuer et de gérer les menaces, les directeurs de la sécurité de l'information doivent investir dans des outils technologiques seulement après avoir traité les questions les plus urgentes concernant le personnel et les processus. 

3. Plus de carottes, moins de bâtons

Près de 9 violations de données sur 10 sont la conséquence d'une erreur humaine, selon une étude menée récemment par une équipe de recherche de l'université de Stanford. Ce chiffre n'est malheureusement pas près d'évoluer, malgré la somme de plus de 1 milliard de dollars que les entreprises dépensent chaque année pour organiser des formations de sensibilisation à la sécurité. Les sociétés doivent trouver de nouvelles méthodes pour récompenser les bonnes pratiques en matière de sécurité.

Par exemple, humilier le personnel en cas d'erreurs de sécurité ne l'amènera pas à faire preuve de davantage de vigilance. La plupart du temps, une telle attitude l'effraie et l'incite davantage à se taire. Plus personne n'osera prendre la parole à ce sujet. Ou bien les personnes essaient de résoudre le problème toutes seules dans leur coin, ce qui envenime involontairement la situation. Si l'entreprise travaille dans un secteur hautement réglementé, cela peut entraîner des sanctions.

Au contraire, les entreprises doivent instaurer une culture de l'ouverture au sujet de la sécurité en encourageant leur personnel à poser des questions et à lancer des signaux d'alerte. Certaines sociétés organisent sans prévenir des simulations d'attaques par phishing et donnent des cartes-cadeaux ou d'autres récompenses aux membres de leur personnel qui les ont identifiées. D'autres célèbrent publiquement leurs membres qui réussissent la formation à la sécurité obligatoire. Quasiment toutes les formes de reconnaissance positive constituent un pas dans la bonne direction.

4. L'utilisation des outils de sécurité simplifiée

La majeure partie des milliards de dollars dépensés par les entreprises dans une technologie de la sécurité est utilisée pour acheter des logiciels qui sont installés, puis bien rangés et complètement oubliés. Dans nombre de cas, ces outils sont complexes et leur fonctionnement est compris uniquement par les spécialistes, qui sont une denrée rare dans le secteur. Face à la pénurie de la main-d'œuvre dans le secteur de la sécurité, une situation qui n'est pas prête d'évoluer selon l'association ISSA (Information Systems Security Association) et le cabinet d'analyse sectorielle ESG (Enterprise Strategy Group), il est essentiel de concevoir des technologies de sécurité plus facile à utiliser.

Grâce à des outils plus conviviaux, les directeurs de la sécurité de l'information pourraient recruter davantage de personnes dans des fonctions essentielles de sécurité et la main-d'œuvre serait composée d'un plus vaste éventail de membres aux expertises techniques et aux expériences variées. En outre, les ingénieurs doivent passer plus de temps à concevoir des tableaux de bord faciles à comprendre qui aident les cadres et le reste du personnel moins versé dans la technique à évaluer les risques actuels.

Ainsi, mon entreprise, appelée Elastic, propose une suite technologique gratuite et ouverte pour plusieurs raisons, notamment afin d'encourager et d'autonomiser une communauté dynamique de contributeurs et de contributrices. Par ailleurs, nous pensons que fournir des solutions ouvertes à un plus vaste public de développeurs leur permet de renforcer la sécurité de leur entreprise.

La sécurité des sociétés ne peut pas rester cloisonnée et gérée par une petite équipe de spécialistes. Elle doit relever de la responsabilité de l'ensemble du personnel. Ainsi, les entreprises ne sont plus contraintes de seulement réagir aux crises : elles changent de modèle et peuvent gérer les questions de cybersécurité en toute efficacité, comme n'importe quel autre risque.

Nate Fick est le directeur général en charge de la sécurité chez Elastic.