Deux priorités pour l'Officier principal de la sécurité de l'information (CISO)

By Tom Goodwin

Plus de la moitié d'entre nous s'attendent à ce que nos entreprises soient la cible d'une cyberattaque au cours de l'année à venir. La moitié d'entre nous pense également que si nous étions touchés, nous n'aurions pas la capacité de reprendre les opérations.¹ DSi l'on ajoute à cela d'autres facteurs liés au paysage de menaces en constante évolution, on peut se demander comment les CISO du monde entier peuvent dormir sur leurs deux oreilles.

• Géopolitique : Le cybercrime se nourrit de l'incertitude liée aux événements géopolitiques. Exemple : il a grimpé de 600 % au début de la pandémie COVID-19.²
• Des enjeux de plus en plus importants : Le coût moyen d'une atteinte à la protection des données est de 4,35 millions de dollars,³ et les paiements liés aux logiciels rançonneurs s'élèvent en moyenne à 570 000 dollars.⁴
• La vulnérabilité de la chaîne d'approvisionnement : 19 % des attaques sont aujourd'hui causées par un fournisseur qui est touché et qui se répercute sur d'autres organisations.³
• Une planification inadéquate : Les premières heures d'un incident sont cruciales, mais 56 % des organisations n'ont pas de plan d'intervention en cas d'incident.⁵
• La hausse des primes d'assurance : Les primes de cyberassurance ont augmenté de 92 % rien qu'au cours du dernier trimestre 2021.⁶

Face à cette situation, je conseille aux CISO avec lesquels je travaille de privilégier deux mesures.

1. Préparez-vous au pire; attendez-vous à ce que la réglementation continue de se faire attendre et à ce que les politiques d'assurance soient dévolues.
2. Insister sur la responsabilité proactive de la résilience opérationnelle au sein de votre organisation.

Réglementation et assurance

La réglementation varie en fonction du secteur dans lequel vous travaillez. Mais un fait demeure constant : la réglementation est loin d'être à la hauteur de ce dont nous avons besoin pour atténuer les risques.

Le principal problème de la réglementation est que les nouvelles mesures n'entrent en vigueur qu'après qu'un événement d'envergure mondiale l'exige. Avant les événements dévastateurs du 11 septembre 2001, par exemple, certaines entreprises disposaient d'un centre de données dans la tour nord du World Trade Center et d'un autre dans la tour sud. La réglementation prévoit désormais la proximité des données entre deux sites afin qu'ils ne soient pas exposés aux mêmes risques régionaux.

En effet, la réglementation est en retard par rapport aux normes logiques visant à atténuer les menaces, et nous devons éduquer l'ensemble des entreprises pour qu'elles prônent des mesures qui vont au-delà du strict minimum.

Les compagnies d'assurances l'ont déjà remarqué. D'où la hausse de 92 % des primes de cyberassurance rien qu'au quatrième trimestre 2021.⁶ Les assureurs de la Lloyds of London ont annoncé à leurs souscripteurs qu'à partir de la fin mars 2023, les attaques parrainées par l'État ne seront plus couvertes par les polices de cyberassurance.⁷

Certaines entreprises, telles que les sociétés de distribution d'eau et les fabricants de puces, sont de moins en moins assurables en raison d'une réglementation très en retard par rapport à ce qu'elle devrait être et d'exigences de plus en plus élevées de la part des compagnies d'assurance quant aux normes qu'elles doivent respecter.

Trop d'entreprises dépendent uniquement de leur police d'assurance pour couvrir les coûts de reprise après un cyberincident. Si vous êtes un CISO, il n'a jamais été aussi important de réfléchir à la confiance que vous avez dans votre capacité de reprise et aux conséquences financières d'un temps d'arrêt prolongé, désormais susceptible de ne pas être couvert par l'assurance. 

Résilience opérationnelle  

Que la menace soit géopolitique, cybernétique ou environnementale, les chefs d'entreprise doivent comprendre que la responsabilité du risque et de la résilience opérationnelle repose sur nous, les CISO, les directeurs informatiques et les responsables des risques. (Et non sur les régulateurs ou les assureurs).

Gartner prévoit que d'ici 2025, 70 % des chefs d'entreprise imposeront une culture de résilience organisationnelle afin de faire face aux menaces coïncidant avec la cybercriminalité, les intempéries, l'agitation civile et l'instabilité politique.⁸

Je pense qu'il s'agit d'une occasion unique d'encourager le progrès incrémentiel, de faire le point sur la situation actuelle et d'œuvrer à la stabilité de l'organisation et du secteur d'activité. L'établissement d'un périmètre de sécurité est essentiel. La plupart des entreprises doivent également :

• Investir dans l'automatisation et l'orchestration des processus de reprise, en améliorant les objectifs de temps de reprise et de point de rétablissement.
•  Évaluer et déterminer la meilleure façon de limiter les erreurs humaines lors du rétablissement des sauvegardes.
• Prenez l'habitude de tester en permanence ces plans de réponse aux incidents, en organisant des simulations de cyberincidents pour vous assurer que vous pouvez compter sur leur capacité à intervenir et à favoriser le rétablissement en temps voulu lorsque le pire se produit.  

Impacts des retombées

Gartner suggère également que d'ici 2025, 60 % des organisations utiliseront le risque de cybersécurité comme un facteur déterminant dans la réalisation de transactions et d'engagements commerciaux avec des tiers. N'oubliez pas qu'aujourd'hui, 19 % des attaques proviennent d'une attaque contre un fournisseur.3 Cela signifie que toute entreprise avec laquelle vous travaillez constitue un risque potentiel pour votre propre exposition, et vice versa.

En résumé 

Le paysage des menaces continue de prendre de l'ampleur, avec un volume croissant d'attaques de plus en plus sophistiquées, entraînant des temps d'arrêt plus longs et des coûts de rétablissement plus élevés.

1. Il faut prendre conscience que la réglementation est loin du niveau nécessaire pour atténuer les risques, et que les polices d'assurance remettent ces risques et cette responsabilité entre vos mains.
   
2. Qu'il s'agisse d'une cyberattaque, d'une incertitude géopolitique ou d'un événement météorologique extrême, votre organisation doit adopter une culture de résilience opérationnelle pour faire face à un paysage de menaces en constante évolution.

Tom Goodwin est un spécialiste de la continuité des opérations chez Kyndryl. 

¹ Half of global CISOs feel their organization is unprepared to deal with cyberattacks. Stone, B., TechRepublic, 17 mai, 2022
² 2022 Must-Know Cyber Attack Statistics and Trends. Embroker. Août 2022
³ How much does a data breach cost in 2022? IBM. 2022
⁴ Extortion Payments Hit New Records as Ransomware Crisis Intensifies. Palo Alto Networks. Août 2021
⁵ Cyberattacks are inevitable. Is your company prepared? Harvard Business Review. March 2021
⁶ Cyber Insurers Raise Rates Amid a Surge in Costly Hacks. Wall Street Journal. 2022
⁷ Lloyd’s to end insurance coverage for state cyber attacks. Computer Weekly. Août 2022
⁸ Gartner Press Release, “Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23,” 21 jun, 2022
⁹ Gartner, “4 Third-Party Risk Principles That CISOs Must Adopt,” Luke Ellery, Sam Olyaei, 11 April 2022.

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved