Cybersécurité : guide sur l’avenir de la gestion du risque

La transformation numérique et la gestion du risque cyber

À l’heure de la transformation numérique, les entreprises et organisations du monde entier, tous secteurs confondus, adoptent les nouvelles technologies pour gagner en efficacité, renforcer leur valeur et développer l’innovation. Pendant la crise du COVID-19, les organisations ont su faire preuve de créativité pour mettre leurs services numériques à la disposition de leurs clients, de leurs concitoyens ou de leurs collaborateurs.

Malheureusement, cette transformation accélérée a augmenté la probabilité de cyber incident et a relevé le niveau de risque auquel étaient exposés les entreprises et les individus. Elle a également entraîné des changements au niveau du cadre réglementaire. Face à la vitesse de la transformation numérique, de nombreuses organisations ont pris du retard dans la protection de leurs actifs stratégiques.

Quelle que soit leur taille ou la complexité de leur environnement, elles doivent désormais gérer les nouvelles menaces qui pèsent sur ces données sensibles. Les incidents de cybersécurité peuvent entraîner diverses conséquences :

• Fuites de données
• Indisponibilité des systèmes
• Compromission de l’intégrité des informations

En cas de fraude ou de vol, un incident de cybersécurité peut se solder par de lourdes pertes financières, une interruption de service prolongée ou pire encore. Aux États-Unis, la Securities and Exchange Commission a calculé que 60 % des petites entreprises faisaient faillite dans les six mois qui suivaient une cyber attaque ou une fuite de données.

Poser les bonnes questions pour mieux gérer la cybersécurité

Les entreprises s’appuient de plus en plus sur les technologies de l’information pour leurs opérations métier : c’est pourquoi la protection des actifs numériques et des données associées est plus importante que jamais. Pourtant, même avec l’aide d’une multitude de normes et de référentiels internationaux, la plupart des organisations ont encore du mal à gérer leur cyber risque efficacement. Pourquoi ?

• La définition du cyber risque est variable, mal comprise et repose bien souvent sur des mesures qualitatives vagues
• La gestion du risque est compartimentée et n’est pas forcément accessible aux acteurs en charge de ce processus de gouvernance
• Les organisations perdent de vue la raison pour laquelle elles cherchent à gérer le cyber risque en premier lieu

Pour protéger leurs actifs numériques les plus stratégiques, les entreprises, les organisations et les institutions doivent commencer par identifier ces actifs, comprendre en quoi ils soutiennent les activités métier, et déterminer la meilleure façon de les protéger en identifiant les menaces et les conséquences d’un potentiel incident cyber. Si la théorie est facile à comprendre, le passage à la pratique reste délicat : beaucoup d’entreprises ont du mal à circonscrire ce qu’elles veulent protéger et à expliquer en quoi cette protection est nécessaire.

Pour compliquer la chose, la transformation numérique a bouleversé le panorama des risques. Dans une économie globale et interconnectée, la supply chain intègre désormais des fournisseurs de logiciels et de services tiers. Nous estimons que pour réussir, un programme de gestion du cyber risque doit tenir compte de ces problématiques de différentes façons :

• Adopter une approche scientifique pour mesurer le risque qui pèse sur les technologies de l’information et l’expliquer en des termes faciles à comprendre par les décisionnaires
• Prioriser les mesures de protection ou de contrôle qui améliorent la résilience, la récupération et l’endiguement des pertes financières causées par les cyber incidents et ne pas se contenter de mettre l’accent sur les contrôles techniques visant à éviter les incidents
• Devenir une activité de gouvernance d’entreprise continue, qui exige la participation des équipes dirigeantes de toutes les fonctions.

‍

L’impératif du leadership en matière de cybersécurité

Même si la transformation numérique s’est imposée en très peu de temps, les modèles de gouvernance ont mis du temps à réagir. Pour nous, le fait de ne pas mettre en œuvre une bonne gouvernance du risque cyber constitue une négligence de la part du conseil d’administration et des équipes dirigeantes. Dans le monde entier, les régulateurs commencent à tirer des conclusions similaires. Il ne faudra plus attendre longtemps avant que les organisations ne soient obligées de mettre en œuvre une gouvernance de la gestion du risque cyber efficace et démontrable.

Pour résoudre un problème d’entreprise de cette envergure, l’appui des instances dirigeantes est impératif. Qu’il s’agisse du conseil d’administration ou d’autres leaders du marché, le ton doit être donné au plus haut niveau. Le cyber risque ne peut pas être entièrement laissé à la charge du RSSI (Responsable de la sécurité des systèmes d’informations) et du DSI (Directeur des Systèmes d’Informations), qui le gèreront chacun de leur côté. Le sujet doit être abordé à l’échelle de toute l’entreprise et chaque fonction doit avoir conscience des risques cyber et technologiques associés à ses activités, ainsi que des options disponibles pour protéger ses actifs numériques.

Dans ce contexte, la gestion du risque cyber a besoin d’un langage universel, qui permette à tout le monde de bien saisir tous les enjeux. Ce langage universel, c’est celui des mesures financières : la quantification du risque en termes financiers va révolutionner la gouvernance de la sécurité des informations. Néanmoins, les acteurs impliqués doivent pouvoir se fier aux données financières qui leur sont présentées, ce qui signifie que la quantification du risque cyber en termes financiers doit s’articuler autour d’une méthodologie transparente et basée sur des normes. Nous évoquerons les normes ouvertes et la quantification du risque plus loin dans ce document.