Deux priorités pour les RSSI

Par Tom Goodwin

Plus de la moitié d'entre nous s'attendent à ce que nos entreprises soient la cible d'une cyberattaque au cours de l'année prochaine. La moitié d'entre nous pensent également que si nous étions attaqués, nous n'aurions pas la capacité de nous en remettre.¹ D'autres facteurs liés à l'évolution du paysage des menaces s'accumulent, et on commence à se demander comment les RSSI (responsables de la sécurité des systèmes d'information) du monde entier peuvent dormir sur leurs deux oreilles.

• Géopolitique : l'incertitude liée aux événements géopolitiques survient lorsque la cybercriminalité se nourrit de l'incertitude liée aux événements géopolitiques. Exemple : cette incertitude a bondi de 600 % au début de la pandémie de COVID.²
• Augmentation des enjeux : le coût moyen d'une fuite de données est de 4,35 millions de dollars,³ et la moyenne des paiements pour les ransomwares s'élève à 570 000 dollars.⁴
• Vulnérabilités de la chaîne d'approvisionnement : 19 % des attaques sont désormais causées par un fournisseur qui subit une attaque et qui propage cette attaque dans d'autres organisations.³
• Planification inadéquate : les premières heures qui suivent un incident sont cruciales. Pourtant, 56 % des organisations n'ont pas de plan de réponse aux incidents.⁵
• Augmentation des primes d'assurance : les primes d'assurance ont augmenté de 92 % rien qu'au cours du dernier trimestre 2021.⁶

Compte tenu de la situation, je conseille aux RSSI avec qui je travaille de donner la priorité à deux actions.

1. Prévoyez le pire : attendez-vous à ce que la réglementation reste à la traîne et que les politiques d'assurance soient décentralisées.
2. Insistez sur la responsabilité proactive pour bénéficier d'une résilience opérationnelle dans toute votre organisation.

Réglementation et assurance

La réglementation diffère selon le secteur d'activité dans lequel vous travaillez. Mais un élément reste cohérent à tous les secteurs : la réglementation est largement en retard lorsque nous en avons besoin pour réduire les risques.

Le principal problème avec la réglementation est que les nouvelles mesures n'entrent en vigueur qu'après qu'un événement ayant des répercussions à l'échelle mondiale nous oblige à agir. Avant les événements dévastateurs du 11 septembre 2001, par exemple, certaines entreprises avaient un centre de données dans la tour nord du World Trade Center et un dans la tour sud. La réglementation exige désormais une proximité des données entre deux sites afin qu'elles ne soient pas exposées aux mêmes risques régionaux.

Oui : la réglementation est en retard par rapport aux normes logiques pour atténuer les menaces, et nous devons former l'ensemble des entreprises à promouvoir des mesures qui vont au-delà du strict minimum.

Les compagnies d'assurance l'ont déjà remarqué. D'où la hausse de 92 % des primes liées à la cybersécurité rien qu'au quatrième trimestre 2021.⁶ Les assureurs de Lloyds of London ont annoncé à leurs souscripteurs qu'à partir de la fin du mois de mars 2023, les attaques parrainées par un État ne seront plus couvertes par les politiques d'assurance de cybersécurité.⁷

Certaines entreprises, telles que les entreprises de distribution d'eau et les fabricants de puces électroniques, se trouvent de plus en plus non assurables en raison de la réglementation qui est à la traîne et des exigences de plus en plus élevées des compagnies d'assurance en matière de normes qu'ils doivent respecter.

De trop nombreuses entreprises comptent entièrement sur leurs politiques d'assurance pour couvrir les coûts d'un cyber-incident. Si vous êtes un RSSI, il n'a jamais été aussi important de commencer à réfléchir si vous avez confiance en votre capacité de reprise et aux implications financières auxquelles vous feriez face en cas d'un temps d'arrêt prolongé, ce qui représente désormais la vraie menace de ne pas être couvert par une assurance. 

Résilience opérationnelle   

Que la menace soit géopolitique, cyber ou environnementale, les chefs d'entreprise doivent réaliser que la responsabilité en matière de concentration des risques et de résilience opérationnelle nous incombe en tant que RSSI, directeurs informatiques et responsables des risques. (Et pas aux autorités de régulation ou aux assureurs.)

Gartner®, prévoit que d'ici 2025, 70 % des PDG exigeront une culture de résilience organisationnelle pour survivre aux menaces de la cybercriminalité, aux conditions météorologiques extrêmes, aux troubles civils et aux instabilités politiques.⁸

Je dis que cela crée une très grande possibilité de prôner des progrès progressifs : voyez où vous en êtes aujourd'hui et travaillez à la stabilité organisationnelle et sectorielle. Il est essentiel d'établir un périmètre de sécurité. La plupart des entreprises doivent également :

Investir dans l'automatisation et l'orchestration des processus de reprise, en améliorant les objectifs de temps et de point de reprise.

•  Évaluer et établir la meilleure façon d'atténuer les erreurs humaines lors de la restauration à partir de sauvegardes.
• Prendre l'habitude de tester continuellement ces plans de réponse aux incidents, en exécutant des exercices de simulation de cyberattaque pour s'assurer d'avoir confiance en leur capacité à agir et à récupérer à leur rythme lorsque le pire se produit.  

Répercussions

Gartner suggère également que d'ici 2025, 60 % des organisations utiliseront les risques de cybersécurité comme déterminant principal à la conduite des transactions tierces et des engagements commerciaux. N'oubliez pas qu'actuellement, 19 % des attaques sont causées par un fournisseur qui subit une attaque.3 Cela signifie que toutes les entreprises avec lesquelles vous travaillez peuvent être responsables de votre exposition, et inversement.

En résumé

Le paysage des menaces ne cesse de s'étendre, avec un volume croissant d'attaques qui gagnent en sophistication, ce qui entraîne des temps d'arrêt plus longs et une augmentation des coûts de reprise.

1. Nous devons prendre conscience que la réglementation est à la traîne lorsqu'il s'agit de limiter les risques, et que les politiques d'assurance renvoient ces risques et responsabilités entre vos mains.
2. Qu'il s'agisse d'une cyberattaque, d'une incertitude géopolitique ou d'un événement météorologique extrême, votre organisation doit adopter une culture de résilience opérationnelle pour survivre à l'évolution du paysages des menaces.
   

Tom Goodwin est Business Continuity Specialist chez Kyndryl.

¹ Half of global CISOs feel their organization is unprepared to deal with cyberattacks. Stone, B., TechRepublic, 17 mai, 2022
² 2022 Must-Know Cyber Attack Statistics and Trends. Embroker. Août 2022
³ How much does a data breach cost in 2022? IBM. 2022
⁴ Extortion Payments Hit New Records as Ransomware Crisis Intensifies. Palo Alto Networks. Août 2021
⁵ Cyberattacks are inevitable. Is your company prepared? Harvard Business Review. March 2021
⁶ Cyber Insurers Raise Rates Amid a Surge in Costly Hacks. Wall Street Journal. 2022
⁷ Lloyd’s to end insurance coverage for state cyber attacks. Computer Weekly. Août 2022
⁸ Gartner Press Release, “Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23,” 21 jun, 2022
⁹ Gartner, “4 Third-Party Risk Principles That CISOs Must Adopt,” Luke Ellery, Sam Olyaei, 11 April 2022.

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved