La sécurité informatique est pour le moins stressante entre la recherche permanente de potentiels incidents, ou encore les heures de travail chroniquement longues, sans oublier les batailles sans fin avec les autres départements qui considèrent que la cybersécurité est un inconvénient superflu. Dans le meilleur des cas, ils essaient de ne pas y penser mais, dans le pire des cas, ils font tout leur possible pour éviter tout ce qui a trait à la cybersécurité. Logiquement, 62 % des cadres dirigeants interrogés par Kaspersky ont reconnu que les malentendus entre les entreprises et les services de sécurité informatique ont donné lieu à de graves incidents informatiques. Pour modifier leur comportement envers la sécurité des informations au sein d’une entreprise, il est crucial d’avoir un soutien au plus haut niveau, autrement dit d’avoir le soutien du conseil d’administration. Dans une telle situation, que pouvez-vous dire à votre PDG ou président quand celui-ci est toujours occupé et rarement d’humeur à parler de la sécurité de l’information ? Voici cinq conseils simples et faciles à assimiler que vous pouvez répéter lors de chaque réunion jusqu’à ce que la direction reçoive le message.
Formez votre équipe en cybersécurité, et commencez par les cadres dirigeants
Il faut faire confiance à son professeur lorsqu’on suit une formation, et ce peut être difficile s’il s’avère que l’élève est le PDG. Il vous sera plus facile de gagner en crédibilité et d’établir une relation interpersonnelle si vous abordez d’abord la cybersécurité personnelle de la direction et sans suivre une stratégie spécifique. Leur sécurité affecte directement celle de l’entreprise, puisque les données personnelles et les mots de passe du PDG sont souvent pris pour cibles par les cybercriminels.
Prenons, par exemple, le scandale qui a éclaté fin 2022 aux États-Unis lorsque des cybercriminels ont eu accès au réseau social VIP Infragard, notamment utilisé par le FBI pour communiquer secrètement les menaces informatiques les plus graves aux PDG des grandes entreprises. Les pirates ont volé une base de données qui contenait les adresses e-mail et les numéros de téléphone de plus de 80 000 membres et l’ont vendue pour 50 000 dollars. Grâce à ces coordonnées, les personnes qui avaient payé pouvaient gagner la confiance du PDG ou s’en servir pour lancer des attaques BEC.
Compte tenu de ce qui précède, le conseil d’administration doit utiliser une authentification à deux facteurs avec un dispositif USB ou NFC sur tous les dispositifs, choisir des mots de passe longs et uniques pour tous les comptes professionnels, protéger tous les dispositifs personnels et professionnels en installant les logiciels appropriés et séparer la vie numérique personnelle et professionnelle. Dans l’ensemble, ce sont les conseils que n’importe quel utilisateur doit suivre, mais dans ce cas il faut aussi connaître le coût qu’aurait une éventuelle erreur. De même, il est important de vérifier plusieurs fois les e-mails douteux et les pièces jointes. Certains responsables auront peut-être besoin de l’aide d’un expert en sécurité de l’information pour traiter les liens ou les fichiers particulièrement suspects.
Une fois que l’équipe de direction maîtrise les règles de base en sécurité, vous pouvez doucement la guider vers une décision stratégique : formez régulièrement tous les employés de l’entreprise en sécurité de l’information. Les employés doivent avoir des connaissances différentes suivant leur poste. Tout le monde, y compris les employés de première ligne, doit assimiler les règles d’hygiène numérique susmentionnées et suivre les conseils donnés lorsqu’il s’agit de gérer une situation suspecte ou inhabituelle. Les responsables, notamment ceux qui travaillent dans l’informatique, pourront mieux comprendre comment la sécurité s’intègre dans le développement de produits et dans le cycle de vie de leur utilisation, quelles politiques de sécurité ils doivent adopter dans leurs services et comment tout cela peut affecter les performances de l’entreprise. À l’inverse, les employés de la sécurité de l’information devront étudier les processus opérationnels adoptés par l’entreprise afin de mieux comprendre comment ils peuvent facilement mettre en place les mesures de sécurité nécessaires.
Incluez la cybersécurité dans la stratégie et les processus de votre entreprise
L’économie se numérise, le paysage des cybermenaces se complexifie et la règlementation s’intensifie. D’ailleurs, la gestion de risques informatiques devient une tâche à part entière pour le conseil d’administration. Plusieurs aspects technologiques, humains, financiers, juridiques et organisationnels en découlent, et les responsables de ces domaines doivent s’impliquer afin de s’adapter à la stratégie et aux processus de l’entreprise.
Comment réduire les risques lorsqu’un fournisseur ou un sous-traitant est piraté et que votre entreprise pourrait devenir une cible secondaire ? Quelles lois dans votre secteur s’appliquent quant au stockage et au transfert de données sensibles telles que les informations personnelles des clients ? Quel serait l’impact d’une attaque de ransomware qui bloque et efface tous les ordinateurs sur vos opérations ? Combien de temps il vous faudrait pour récupérer les sauvegardes ? Pourrez-vous évaluer financièrement les préjudices portés en termes de réputation à votre entreprise lorsque vos associés et le grand public apprendront que vous avez été victime d’une attaque ? Quelles mesures de sécurité supplémentaires pouvez-vous adopter pour protéger les employés qui sont en télétravail ? Ce sont certaines des questions que les services en sécurité de l’information et les experts d’autres départements doivent poser, tout en ayant des mesures organisationnelles et techniques.
Il convient de rappeler à la direction que » l’achat de tel ou tel système de protection » ne vas pas miraculeusement résoudre tous ces problèmes puisque, selon plusieurs de nos estimations, entre 46 % et 77 % de tous les incidents sont liés au facteur humain : le non-respect des lois, des personnes malveillantes en interne ou encore le manque de transparence informatique de la part des sous-traitants.
Malgré ça, les problèmes en sécurité de l’information vont toujours tourner autour du budget.
Investissez de manière appropriée
L’argent manque lorsqu’il s’agit de la sécurité de l’information alors que le nombre de problèmes à résoudre dans ce domaine semble infini. Il est important d’établir des priorités selon les exigences du secteur et selon les menaces les plus pertinentes pour votre entreprise et qui pourraient causer le plus de dégâts. Cela est virtuellement possible dans tous les domaines, de la correction d’une vulnérabilité à la formation du personnel. Aucun service ne peut être délaissé et chacun aura ses propres priorités et son ordre de préséance. À partir du budget alloué, vous devez éliminer les risques clés puis passer à ceux qui sont moins probables. Il vous sera presque impossible de classer vous-même les probabilités de risques et vous aurez besoin d’analyser les rapports relatifs au paysage des menaces de votre secteur et les vecteurs d’attaque habituels.
Évidemment, les choses deviennent vraiment intéressantes lorsque le budget doit être augmenté. L’approche la plus mature du budget repose sur les risques et le coût respectif de son actualisation et de sa minimisation, mais c’est aussi celle qui demande le plus de travail. Les exemples réels, dans l’idéal à partir de l’expérience de la concurrence, jouent un rôle de soutien important dans les conseils d’administration. Cela étant dit, ils ne sont pas faciles à trouver. C’est pourquoi il est habituel d’avoir recours à divers outils qui indiquent le budget moyen que les entreprises du même secteur et du même pays ont.
Envisagez tous les types de risques
Les conversations sur la sécurité de l’information se concentrent généralement sur les cybercriminels et sur les solutions de sécurité qui permettent de lutter contre eux. Pourtant, de nombreuses entreprises rencontrent d’autres risques qui appartiennent aussi à la sécurité de l’opération lors de leurs opérations quotidiennes.
Il est évident qu’un des risques les plus importants ces dernières années est le non-respect des lois relatives au stockage et à l’utilisation des données personnelles : RGPD, CCPA, etc. Les pratiques actuelles des forces de l’ordre montrent qu’il n’est pas envisageable de les ignorer : tôt ou tard les régulateurs infligeront des amendes et dans de nombreux cas, surtout en Europe, nous parlons de sommes conséquentes. Une perspective encore plus inquiétante pour les entreprises serait celle d’amendes qui dépendent du chiffre d’affaires en cas de fuite ou de mauvaise gestion des données personnelles. Dans ce cas, il serait nécessaire d’effectuer un audit complet des systèmes d’information et des processus afin de corriger une par une toutes les infractions.
Plusieurs secteurs ont établi d’autres critères encore plus stricts, comme c’est notamment le cas des finances, des télécommunications, de la médecine ou encore d’opérateurs d’infrastructures critiques. Cette tâche doit être régulièrement supervisée par les responsables de ces domaines afin d’améliorer le respect des lois.
Réagissez correctement
Malheureusement, malgré tous les efforts, les incidents sont pratiquement inévitables en cybersécurité. Si une attaque est suffisamment importante pour attirer l’attention de la direction, cela signifie sûrement que les opérations ont été perturbées ou que les données divulguées sont précieuses. Les unités opérationnelles et les experts en sécurité de l’information doivent être prêts à réagir et, dans l’idéal, ils devraient savoir quoi faire grâce aux exercices. La moindre des choses est que le conseil d’administration connaisse et suive les procédures de réponse afin de ne pas réduire les chances de réussite. Le PDG doit suivre trois étapes cruciales :
- Communiquez immédiatement l’incident aux parties impliquées. Selon le contexte, ce sont les services financiers et juridiques, les assurances, les régulateurs du secteur, les régulateurs de la protection des données, les forces de l’ordre et les clients concernés. Dans de nombreux cas, une loi établit le temps qui peut s’écouler entre l’incident et l’envoi de la notification mais, si ce n’est pas le cas, ce laps de temps doit être indiqué dans le règlement intérieur. Logiquement, la notification doit être rapide mais instructive. Ainsi, avant d’envoyer la notification, il faut obtenir des renseignements sur la nature de l’incident, faire une première évaluation de l’ampleur de l’attaque et indiquer quelles sont les premières mesures à adopter.
- Enquêtez sur l’incident. Il faut prendre plusieurs mesures pour évaluer correctement l’ampleur et les conséquences de l’attaque. En plus des mesures purement techniques, il est important de demander aux employés, par exemple. Au cours de l’enquête, il est crucial de ne pas détruire les preuves numériques de l’attaque ou tout autre objet. Dans de nombreux cas, il convient de faire appel à des experts externes pour enquêter sur l’incident et le résoudre.
- Élaborez un planning de communication. Les entreprises commettent souvent la même erreur : essayer de cacher l’incident ou le minimiser. La véritable ampleur du problème apparaît tôt ou tard, et finalement prolonge ou amplifie les dégâts, qu’ils soient économiques ou liés à la réputation. Ainsi, les communications externes et internes doivent être régulières et systématiques afin de fournir des informations cohérentes et pratiques aux clients et aux employés. Ils doivent savoir exactement quelles sont les prochaines actions et à quoi s’attendre à l’avenir. Il serait intéressant de centraliser les communications, c’est-à-dire d’avoir un porte-parole interne et externe, et d’interdire à toute autre personne d’assumer ce rôle.
Communiquer les incidents de sécurité de l’information au conseil d’administration peut prendre beaucoup de temps et n’est pas toujours gratifiant. C’est pourquoi il est peu probable que ces cinq messages soient transmis et pris à cœur en une ou deux réunions. Les interactions entre les entreprises et les équipes de sécurité de l’information sont un processus continu qui exigent que les deux parties fassent un effort afin qu’elles puissent mieux se comprendre. Ce n’est qu’avec une approche systématique et progressive, régulièrement menée et qui implique presque tous les dirigeants, que l’entreprise peut prendre le dessus sur la concurrence lorsqu’il s’agit de naviguer dans le cyberespace actuel.