Pourquoi et comment le conseil d’administration doit-il se préoccuper de la cyber-sécurité

hexagon-3392236_1920

Le principal objectif du conseil d’administration est d’assurer la prospérité de l’entreprise tout en répondant aux intérêts de ses actionnaires. Afin d’assurer cette fonction, le conseil d’administration doit, entre autres, s’assurer que les risques pouvant atteindre à la réputation et le bénéfice de la compagnie sont minimisés.

Ainsi, en 2020, il est indispensable pour la direction ou le conseil d’administration d’une entreprise de prendre en compte les cyber-risques. La dépendance des entreprises à leur système informatique n’est que rarement évaluée à sa juste valeur ; ce n’est, généralement, qu’à la suite d’un incident que les employés et la direction constatent le rôle stratégique que leur infrastructure digitale joue dans l’accomplissement de leur mission. Cette prise de conscience est essentielle afin de pouvoir démarrer une conversation constructive autour de la cyber-sécurité :

Quelle est la présence en ligne de mon entreprise et dans quelle mesure cette présence influence les décisions d’achat de mes clients ? Quelle est notre dépendance à notre système informatique et quels sont les acteurs tiers en jeu ? Quel dommage nous causeraient la perte de fonctionnalité de notre système, la publication de nos données internes, la modification d’informations liées à nos processus métiers ?Le but de la cyber-sécurité, qu’elle soit gérée en interne ou outsourcée à une compagnie spécialisée, est de comprendre et mitiger ces risques. Toutefois, ces dangers ne sont souvent pas aussi tangibles et sont généralement plus techniques que ceux historiquement traités lors des conseils d’administration, entravant ainsi la capacité des décideurs à comprendre et saisir toute l’ampleur des risques inhérents à la cyber-sécurité. Il est essentiel de traiter les cyber-risques comme tous les autres risques business de l’entreprise et ne pas les réduire à une simple problématique IT : connaître les processus les plus critiques de l’entreprise et évaluer l’impact d’une interruption n’est pas un problème informatique mais une nécessité stratégique. Ce biais généralisé trouve aussi sa faute dans l’approche des informaticiens. En effet, plutôt que de se concentrer sur les activités commerciales les plus importantes qui pourraient être perturbées par une cyber-attaque, les responsables se focalisent souvent sur les technologies individuelles pour résoudre les problèmes spécifiques au sein de leurs systèmes informatiques. Mettre l’accent sur la correction des vulnérabilités informatiques est séduisant, car c’est de tangible et calculable. Ainsi, une entreprise peut dépenser toutes ses ressources, qui sont déjà rares, pour corriger ces vulnérabilités sans jamais s’attaquer au problème fondamental : la protection des activités commerciales pour lesquelles les ordinateurs ont été achetés. Probablement, l’un des plus grands défis auquel les conseils d’administration doivent faire face, dans le contexte de la cyber-sécurité, est de se familiariser avec les cyber-menaces et de comprendre quelles sont les stratégies de défense possibles. Il y a donc deux points différents à considérer : la compréhension des cyber-risques auxquels l’entreprise est confrontée, et comment ils peuvent affecter le business.

L’impact d’une cyber-attaque

Pas une semaine ne passe sans qu’on entende parler d’un cyber-incident ou d’une cyber-attaque contre une entreprise. Généralement, une fuite de données entraîne immédiatement une chute du cours des actions, nuit à la réputation de la marque, remet en cause la compétence du conseil d’administration et du leadership, et l’expose à des poursuites légales. Pour les PME le risque est bien réel ; en 2018 on estime que plus de 40% des PME suisses ont eu un cyber-incident et que 33% d’entre elles ont subi une perte financière due à ces attaques. On observe aussi que plus de la moitié des PME victimes d’une cyber-attaque grave doivent déposer leur bilan dans l’année suivante. Du côté des grandes structures, le risque est très différent. Aucune des entreprises victimes des plus grands piratages des sept dernières années, soit Target (2013), Sony (2014), Yahoo (2016), Equifax (2017), Maersk (2017), Marriott (2018) et Capital One (2019), n’a été contrainte de se mettre en faillite. Cela étant,  les attaques ont couté entre $200 et $400 millions chacune et, dans la majorité des cas, des membres de la direction ont été licenciés. C’est pour cela que, quel que soit le segment industriel ou la taille d’une entreprise, sa pérennité dépendra à terme d’une solide gestion pro-active des cyber-risques.

Les menaces qui visent votre compagnie

Chaque compagnie est confrontée à des risques qui lui sont propres. Certes, il y a des dangers communs à tous, tels une attaque de ransomware, un vol de donnée ou la corruption d’un système, mais c’est en connaissant ses propres particularités qu’une entreprise arrive à avoir une cyber-résilience efficace. Pour se faire, il faut correctement comprendre quels sont les processus critiques pour l’entreprise et leurs interdépendances, il faut ensuite évaluer quels sont les risques et dangers liés à ces processus. C’est en effectuant cette démarche de façon systématique que les entreprises peuvent mettre en place un programme de gestion des cyber-risque et établir leur modèle de cyber-maturité. C’est uniquement une fois ces démarches effectuées que les informations récoltées peuvent être traduites en termes techniques ; ainsi, il sera possible de définir les outils et procédures à mettre en place afin de minimiser les risques. Prenons pour exemple une entreprise qui décide de migrer leur ERP (Enterprise Resource Planning) vers le cloud pour faciliter la mobilité et le télétravail de ses employés (décision stratégique afin d’avoir un avantage compétitif). L’ERP a été défini comme un système critique de la compagnie et sa migration dans le cloud l’expose à des nouveaux risques d’accès non autorisés (danger identifié comme non acceptable par la direction). L’équipe cyber peut alors proposer de mettre en place de l’authentification forte, un accès limité aux appareils préautorisés et de l’analytique comportementale sur l’activité des utilisateurs (plan de mitigation).

Conformité VS sécurité

La sécurité et la conformité sont souvent vues comme les deux faces d’une même pièce, et très souvent les conseils d’administration pensent qu’en étant conformes ils seront d’office protégés contre des cyber-attaques : toutefois, ceci n’est pas forcément le cas. La sécurité consiste à mettre en œuvre des contrôles et processus pour protéger les biens. La conformité, à l’inverse, est la validation des points de contrôle afin de répondre correctement aux exigences réglementaires ou contractuelles d’un tiers. La sécurité est adaptée aux particularités et réalités de chaque organisation. Elle se concentre sur l’atténuation globale des risques pouvant nuire à la pérennité de l’entreprise. La conformité mesure si un programme de sécurité répond à un ensemble particulier de normes génériques concernant une industrie ou un secteur d’activité.Aussi, les exigences de conformité changent lentement et de façon prévisible, tandis que le paysage de la sécurité / des menaces est en perpétuel changement ; cela signifie que la conformité est souvent en retard par rapport aux menaces actuelles. Les régulateurs se soucient de la conformité, mais les hackeurs sont opportunistes et exploitent les vulnérabilités ou contournent les règles. C’est pour cela que, même en suivant scrupuleusement les règles de conformité, la sécurité recherchée n’est pas pour autant assurée.

Planifier en cas d’incident

Malgré tous les efforts mis en place par les entreprises afin de se protéger correctement contre les cyber-attaques, des incidents arrivent régulièrement et certaines entreprises se font hacker. Les plans de continuité et de reprise d’activité sont donc des éléments indissociables d’une stratégie de cyber-sécurité. Ces plans permettent à une entreprise de se relever après une cyber-attaque et de retourner le plus rapidement possible à la routine. De nombreuses régulations exigent que le conseil d’administration supervise la mise en place de ces plans. Il faut donc, entre autres, établir la durée maximal tolérable pendant lequel les systèmes informatiques pourraient être perturbés ou dysfonctionnels et mettre en place une stratégie réaliste pour s’y conformer.

Que demander à son équipe de cyber-sécurité ?

Pour que l’équipe cyber d’une entreprise puisse être efficace, le conseil d’administration doit être clair sur son appétit du risque et le niveau de risque maximum que l’entreprise est prête à prendre en vue d’atteindre ses objectifs stratégiques. Des renseignements exhaustifs concernant les craintes (employé malveillant, espionnage gouvernemental, etc.) et la tolérance au risque (travail depuis la maison, portail web pour les clients, etc.) permettront aux responsables de la cyber-sécurité d’effectuer un travail efficace aligné avec les attentes de la direction. Il est important de relever qu’habituellement les indicateurs utilisés par les équipes cyber pour estimer la résilience et la posture de cyber-sécurité de l’organisation ne sont pas directement transférable à une approche business. Afficher sur un PowerPoint la liste et le nombre d’attaques bloquées présente bien, mais n’apporte en pratique qu’une très petite valeur à la conversation. Essentiellement, nous voyons trois points essentiels à présenter à un conseil d’administration :

  1. Quelle est la maturité du programme cyber, quels en sont les points faibles et comment ils impactent l’entreprise. 
  2. Quelles ont été les activités entreprises par l’équipe cyber afin de résoudre ces problèmes et diminuer ces risques. 
  3. Quel est l’avancement du processus et quelles sont les éventuelles complexités à venir (en terme business).

La cyber-sécurité aujourd’hui n’est plus une problématique informatique, mais bien un impératif stratégique. Elle doit s’adapter en permanence à l’innovation de l’entreprise, aux nouvelles attaques, aux besoins des employés et aux exigences des clients. Pour ce faire, elle doit donc être indépendante du département informatique, et le conseil d’administration doit directement et régulièrement s’impliquer dans les stratégies et décisions concernant la cyber-sécurité.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA

le clusis