Je vous propose deux articles sur le Cyber risque. Encore lui !
Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.
Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.
Article 1
Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?
ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10
Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.
Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.
Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.
Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !
Des organisations encore trop peu protégées face aux cyberattaques
Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.
Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.
Faire de la DSI un centre de profits
Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.
Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.
Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.
Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.
Article 2
Le cyber-risque est (aussi) une affaire de Comex !
mardi 9 octobre 2018, par La Rédaction
Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting
Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.
Ce sujet qui empêche les dirigeants de dormir…
Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.
Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.
Vers une nouvelle organisation
Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.
Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.
La nécessaire évolution du pilotage du risque
Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?
De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.
(1) https://www.weforum.org/reports/the-global-risks-report-2018
(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe
(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois
(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.
Blog de Caroline Aubry 