Face à l’augmentation des menaces en ligne, la cybersécurité ne doit pas être considérée comme une simple question technique, mais plutôt comme une question de stratégie, de culture et de coopération.
Selon le Global Risks Report 2022 du Forum économique mondial, les défaillances en matière de cybersécurité continuent de figurer parmi les menaces critiques à court et moyen terme pour le monde.
Voici cinq choses que les hauts dirigeants des organisations devraient privilégier pour ancrer la cyber-résilience dans leur organisation.
Pendant trop longtemps, la cybersécurité a été perçue comme un problème informatique et déléguée aux spécialistes de la technologie. Pourtant, à mesure que la menace s’accroît, elle ne doit pas être considérée comme un simple problème technique, mais plutôt comme un problème de stratégie, de culture et de coopération. Les chefs d’entreprise doivent donc prendre les devants lorsqu’il s’agit de gérer le cyber-risque au sein de leur entreprise, afin de protéger l’économie numérique sur laquelle les individus, les organisations et les pays comptent de plus en plus. En effet, un leadership efficace – sur les questions de cybernétique et d’autres technologies – ne fera que gagner en importance au fil du temps.
C’est d’autant plus important que le rythme du changement s’accélère, notamment dans le domaine numérique. Les signes d’une numérisation croissante sont partout. Selon le cabinet d’études DataReportal, plus de cinq milliards de personnes dans le monde utilisent l’internet, ce qui signifie que plus de 63 % de la population mondiale est désormais en ligne. La numérisation a également fait partie intégrante de la transformation des entreprises. Selon Statista, un autre cabinet d’études, les dépenses mondiales consacrées à la transformation numérique atteindront 2 800 milliards de dollars en 2025.
Pourtant, au milieu de ces tendances, une autre plus sinistre se cache : les mauvais acteurs cherchent activement à exploiter les vulnérabilités des individus et des organisations. La nature du cyberespace se prête favorablement aux criminels pour plusieurs raisons.
Premièrement, la barrière d’entrée est faible. Pour 10 dollars seulement, une personne peut acheter des attaques simples sur le dark web, et même des attaques sophistiquées ne coûtent que quelques centaines de dollars (ce que l’on appelle la « cybercriminalité en tant que service »).
Deuxièmement, le risque de poursuites judiciaires est relativement faible. Contrairement à la criminalité physique, où la victime et l’auteur se trouvent dans la même juridiction, dans le cas de la cybercriminalité, un criminel basé dans un pays peut lancer une attaque contre une organisation située dans un autre, les recettes étant transférées dans un pays tiers. Cela rend les poursuites difficiles (et, soit dit en passant, il est d’autant plus important de resserrer la collaboration entre le secteur privé et les organismes chargés de l’application de la loi partout dans le monde).
Troisièmement, les récompenses sont attrayantes. Selon Sophos, une société de sécurité informatique, le paiement moyen d’une rançon pour les organisations touchées par un ransomware s’élève à près de 234 000 dollars, qui peuvent être payés à l’aide de crypto-monnaies difficiles à tracer.
Même si ces problèmes ne sont pas nouveaux – la cybercriminalité existe depuis des décennies – ils sont de plus en plus alarmants à mesure que la technologie progresse. On peut soutenir qu’il a fallu attendre la fuite en 2017 de l’exploit Eternal Blue, mis au point par la National Security Agency aux États-Unis et qui a donné lieu à l’attaque par ransomware WannaCry qui a frappé le National Health Service du Royaume-Uni, ainsi que la cyberattaque NotPetya qui a frappé diverses organisations en Ukraine et ailleurs, pour que la cybersécurité devienne une préoccupation majeure des chefs d’entreprise à l’échelle mondiale. Il n’est pas surprenant que les « cyberattaques » et la « fraude ou le vol de données » soient apparus parmi les cinq principaux risques par probabilité dans le Rapport sur les risques mondiaux 2018 du Forum économique mondial.
« Compte tenu de la pénurie de talents de qualité, les hauts dirigeants doivent investir dans le recrutement et le développement des talents existants au sein des organisations » – Akshay Joshi.
Ce problème ne va pas disparaître de lui-même. Au contraire, la fréquence et la gravité des cyberattaques de ces deux dernières années ont modifié la perception des dirigeants à l’égard des cybermenaces. Selon le Global Risks Report 2022 du Forum, la « défaillance de la cybersécurité » continue de figurer parmi les menaces critiques à court et moyen terme pour le monde. Le fait que la cybersécurité semble reculer dans le classement lorsqu’on demande aux personnes interrogées des signaux à plus long terme implique un angle mort dans la perception des risques, plutôt que la probabilité que la menace se dissipe comme par magie.
Les écarts de perception des risques dans le domaine de la cybersécurité sont bien réels. Le rapport Global Cybersecurity Outlook 2022 du Forum indique que si 85 % des cyberdirigeants reconnaissent que la cyberrésilience est une priorité commerciale pour leur organisation, obtenir le soutien des décideurs lorsqu’il s’agit de hiérarchiser les cyberrisques par rapport à une pluralité d’autres risques reste un défi majeur. De plus, en ce qui concerne la cyber-résilience, si 92 % des dirigeants interrogés estiment qu’elle est intégrée aux stratégies de gestion des risques de l’entreprise, seuls 55 % des cyber-dirigeants sont de cet avis.
Nous devons être en mesure de combler ce fossé si nous voulons réussir à bâtir des organisations cyber-résilientes. Cela nécessitera un changement d’état d’esprit chez les PDG, les conseils d’administration et les autres cadres supérieurs. En matière de cyberattaques, la question n’est pas de savoir « si », mais « quand ». Il faut donc passer d’une focalisation sur les cyber-risques à un renforcement de la cyber-résilience. Après tout, dans un environnement où les cyberattaques sont inévitables, il est sans aucun doute crucial de s’y préparer, mais tout aussi important d’institutionnaliser des mécanismes pour y répondre et s’en remettre.
Il faut passer des cyber-risques au renforcement de la cyber-résilience.
Voici cinq choses que les hauts responsables des organisations devraient privilégier pour intégrer la cyber-résilience dans leur organisation :
Reconnaître la cybersécurité comme une priorité stratégique de l’entreprise
Un cadre supérieur d’un grand conglomérat industriel dont le siège est en Asie et qui réalise une dizaine de transactions par an signale que les équipes chargées de la cybersécurité sont les dernières à effectuer une vérification préalable de l’organisation cible, si tant est qu’elles en effectuent une. Le résultat est que les acquéreurs se retrouvent potentiellement avec une foule de vulnérabilités à corriger lorsqu’ils essaient d’intégrer les sociétés cibles à l’entité mère, ce qui entraîne souvent des coûts non désirés importants.
Une situation similaire existe avec les investisseurs, qui effectuent rarement une diligence raisonnable en matière de cybersécurité avant d’investir. En 2019, le Forum a publié un rapport intitulé Inciter à l’innovation responsable et sécurisée : Principles and guidance for investors, pour tenter d’y remédier. La leçon à tirer est que le cyber-risque est un risque commercial, et qu’il doit être compris, priorisé et câblé dans les décisions stratégiques et opérationnelles clés.
Veiller à ce que la gouvernance de la cybersécurité soit un impératif du conseil d’administration
Dans la plupart des organisations, le responsable de la sécurité des informations (CISO) assume la responsabilité de la cybersécurité. Cependant, comme c’est le cas pour la plupart des questions stratégiques, le conseil d’administration et la direction générale des organisations doivent donner le ton, développer des mécanismes pour gérer les cyber-risques et assumer la responsabilité de la cyber-résilience de l’entreprise.
L’année dernière, le Forum a collaboré avec la National Association of Corporate Directors, l’Internet Security Alliance, PwC et ses partenaires mondiaux pour élaborer un ensemble de six principes consensuels destinés à aider les administrateurs à comprendre la position actuelle de leur organisation en matière de cybersécurité, à exercer leur fonction de surveillance et à fixer des objectifs futurs.
En outre, la Securities and Exchange Commission des États-Unis a récemment proposé de nouvelles règles qui exigeraient la divulgation de la gouvernance en matière de cybersécurité d’une entreprise au niveau du conseil d’administration et de la direction. Une fois finalisées, ces règles mettront en évidence le rôle du conseil d’administration dans l’exercice d’une surveillance efficace de la gestion des cyber-risques, en veillant à ce que les cyber-risques restent partie intégrante de la stratégie globale de l’entreprise.
Il est essentiel de veiller à ce que les employés soient habilités à comprendre et à adopter des comportements qui favorisent la cyber-résilience de l’organisation.
Cultiver une culture de la cyber-résilience
Pour une gestion efficace des cyberrisques, il faut tenir compte de trois éléments clés : la technologie, les processus et les personnes. Ce dernier élément est sans doute le maillon le plus faible de la chaîne. Selon Cybint, une société d’éducation et de formation en matière de cybersécurité, 95 % des atteintes à la cybersécurité sont dues à une erreur humaine. Naturellement, il est essentiel de veiller à ce que les employés soient habilités à comprendre et à adopter des comportements qui favorisent la cyber-résilience de l’organisation.
Pour changer la culture, les hauts responsables doivent donner le ton et mettre en place des mécanismes qui favorisent la responsabilisation en matière de cyber-résilience à tous les niveaux de l’organisation. L’ouverture et la communication sur la stratégie, les pratiques et les connaissances en matière de cyber-résilience peuvent contribuer à susciter un sentiment d’appartenance chez les employés.
Enfin, on ne saurait trop insister sur l’importance de la formation continue pour sensibiliser les employés aux concepts et aux meilleures pratiques en matière de cyber-résilience.
Constituer une main-d’œuvre de qualité en matière de cybersécurité
On constate une grave pénurie de talents en matière de cybersécurité dans le monde. Selon l’étude (ISC) 2021 sur la main-d’œuvre en cybersécurité, il y a encore un déficit de plus de 2,7 millions de personnes, et la main-d’œuvre doit augmenter de 65 % pour défendre efficacement les actifs critiques des organisations.
Lorsqu’on leur a demandé si leur organisation disposait des compétences nécessaires pour réagir et se remettre d’une cyberattaque, la moitié des personnes interrogées dans le cadre du Global Cybersecurity Outlook 2022 du Forum ont déclaré qu’il leur serait difficile de réagir en raison de la pénurie de compétences au sein de leur équipe. Moins d’un quart des entreprises comptant entre 5 000 et 50 000 employés « disposent des personnes et des compétences [dont elles] ont besoin aujourd’hui ».
Compte tenu de la pénurie de talents de qualité, les dirigeants doivent investir dans le recrutement et le développement des talents existants au sein des organisations. Dans un marché de chercheurs d’emploi, les bonnes conditions de travail, qui incluent un mélange de ce que l’auteur américain Dan Pink appelle les leviers de motivation « intrinsèques » et « extrinsèques », sont essentielles pour garantir la satisfaction et la fidélisation des employés.
Il est également nécessaire de concevoir des solutions innovantes pour permettre aux talents existants de faire la transition vers une carrière dans la cybersécurité. À cette fin, Salesforce, Fortinet, la Global Cyber Alliance et le Forum économique mondial ont créé le Cybersecurity Learning Hub, qui propose des modules gratuits et orientés vers la carrière, afin de donner aux gens une voie vers ces rôles recherchés.
Encourager la collaboration entre le secteur public et le secteur privé
La cybercriminalité est un business et les cybercriminels collaborent en partageant des informations sur les techniques et les outils d’attaque. Pour garder une longueur d’avance sur les cybermenaces, il faut renforcer la collaboration entre les acteurs publics et privés dans l’écosystème élargi.
La valeur des partenariats n’est plus à démontrer. Dans le rapport Global Cybersecurity Outlook 2022, plus de 90 % des personnes interrogées ont déclaré avoir reçu des informations exploitables de groupes et/ou de partenaires externes de partage d’informations. Une proportion notable de 85 % des personnes interrogées ont reconnu qu’elles seraient prêtes à faire preuve de plus de transparence et à coopérer avec les forces de l’ordre si cela permettait de mieux sanctionner la cybercriminalité.
Cependant, il existe également des obstacles importants à la collaboration ; les restrictions réglementaires et les limites juridiques empêchent souvent le partage d’informations, par exemple. Les hauts dirigeants doivent encourager la collaboration sur les questions de cybersécurité et s’attaquer aux obstacles organisationnels qui limitent les échanges avec et entre les acteurs du secteur, les agences nationales de cybercriminalité et les services répressifs. Non seulement ces partenariats contribuent à renforcer la préparation, mais ils sont également très utiles en cas de crise, lorsque le soutien de l’écosystème élargi peut changer la donne.
Tout cela fait de la cybersécurité non seulement une question technique, mais aussi une question de stratégie, de culture et de coopération.
Les entreprises leaders du XXIe siècle seront celles qui auront le leadership nécessaire pour donner la priorité non seulement à la cybersécurité mais aussi à la cyber-résilience.
–
SEO INSIDE est une agence de netlinking (notamment…).
--
SEO Inside est une agence web et SEO - en savoir plus sur nous:
Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis
Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.
Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco
SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.