Comment les personnes occupant le poste de responsable de la sécurité des systèmes d’information (RSSI), ou une position équivalente, voient la cybersécurité ? Quels problèmes rencontrent-ils ? Kaspersky Lab a demandé à 250 responsables de la sécurité du monde entier de répondre à ces questions. Leurs opinions sont particulièrement intéressantes, même si je dois dire que je ne suis pas entièrement d’accord avec tous mes collègues.
Analysons les questions relatives à la mesure des indicateurs clés de performance pour un RSSI. Il n’est pas surprenant de voir que la plupart des personnes interrogées ont dit que le principal critère de leur travail est la qualité et la rapidité dans la gestion des incidents informatiques. Dans les entreprises modernes, les gens ont tendance à oublier que les incidents informatiques sont des failles de sécurité. Il est bon de voir que la plupart des experts commencent à comprendre que certains incidents sont inévitables, voire normaux. De nos jours, la cybersécurité concerne avant tout la survie de l’entreprise.
Lorsque je parle de survie, je veux dire un niveau de protection qui, en cas d’attaque des menaces persistantes avancées (APT), de fuite de données, ou de DDoS très grave, peut permettre à l’entreprise de se remettre sur pied sans avoir subi de dommages importants, ou sans avoir perdu plus que le seuil minimal prédéfini. En d’autres termes, les RSSI actuels se concentrent principalement sur la gestion des incidents.
D’une part, c’est très bien. Il y a quelques années, l’idée d’une cyberprotection avec un « risque zéro » dominait, et les entreprises pensaient que les RSSI devaient pouvoir protéger l’infrastructure des incidents avec une garantie absolue. D’autre part, il n’est pas mieux de se concentrer uniquement sur les technologies réactives. Selon moi, les RSSI doivent trouver le juste milieu. Tous les éléments de l’architecture de la sécurité adaptative sont importants : prévention, détection, réponse, et prévision.
Parlons des risques
La plupart des RSSI sont d’accord pour dire que l’atteinte à la réputation est la menace la plus importante lorsqu’une entreprise a été victime d’une brèche. Je suis entièrement d’accord. J’aurai répondu exactement la même chose. L’atteinte à la réputation est à l’origine de toutes les autres conséquences de l’incident : chute en bourse, de la confiance des clients, des ventes, et ainsi de suite.
C’est à cause de la réputation que nous n’entendons pas parler de la majorité des incidents en matière de sécurité. Si une entreprise peut cacher un incident informatique, elle le fait, même si dans certains pays, les lois exigent que les entreprises communiquent toutes les informations relatives aux problèmes de sécurité à leurs actionnaires, ou à leurs clients.
Apparemment, les RSSI voient certaines différences dans les intentions des cybercriminels, et peuvent dire s’il s’agit d’attaques commanditées par un État, ou de crimes intéressés par l’argent. Dans mon cas, je dirai que les attaques de l’intérieur sont les plus importantes. Ce sont les plus dangereuses en termes de pertes, et l’expérience a montré qu’un employé malhonnête peut éventuellement causer beaucoup plus de dégâts que des malfaiteurs externes.
Influence sur les décisions de l’entreprise
Il était intéressant de voir comment les responsables de la sécurité participent aux décisions prises par l’entreprise. J’ai été surpris d’apprendre qu’ils ne se sentent pas tous suffisamment impliqués. Mais que considèrent-ils comme « correct » ?
Il existe principalement deux stratégies. La sécurité peut contrôler toutes les décisions de l’entreprise, puisqu’elle valide chaque pas. Ou alors, ces experts peuvent travailler comme consultants, si l’entreprise leur demande par exemple s’il est bien de faire les choses de telle façon.
Au premier abord, il semble plus efficace d’avoir un contrôle total, et ce serait le cas si la cybersécurité était en objectif en soi. En réalité, cette approche exige beaucoup plus de personnes, et ralentit le développement de l’entreprise. Cela peut être un réel défi pour les entreprises innovantes qui utilisent des processus opérationnels qui n’ont pas encore mis en place les meilleures pratiques en matière de protection.
Justification du budget
J’ai été contrarié par les réponses fournies à la question « Comment justifiez-vous votre budget sans avoir un ROI précis ? ». Il semblerait que les moyens de justification les plus souvent utilisés soient des tactiques alarmistes ; rapports sur les failles de cybersécurité, et évaluations des dégâts que des attaques antérieures ont causés à l’entreprise. Oui, cette méthode fonctionne la première fois, et peut-être même la deuxième. Mais lorsqu’il s’agit de la troisième attaque, leur réponse ressemblera plutôt à « Ok, c’était effrayant. Comment les autres ont géré les choses ? »
Il est plus pertinent pour l’entreprise de connaître les expériences d’autres entreprises. Malheureusement, « les références du secteur et les meilleures pratiques » n’occupent que la septième place du classement, même si ces informations sont publiquement disponibles. Nous vous proposons par exemple un outil particulièrement utile : notre IT Security Calculator.
Cette étude donne matière à réflexion. Vous pouvez lire la totalité du rapport ici.