Article
Risque cyber
Définition du risque cyber
Le risque cyber, qui résulte de la compromission de la confidentialité ou de l'intégrité des informations ou des technologies de l'information, peut se traduire par des pertes financières, des répercussions opérationnelles négatives et des dommages affectant les systèmes, les entreprises, les pouvoirs publics et les particuliers. Souvent causé par un incident de cybersécurité, ce risque est associé à la perte d'informations ou de technologies de l'information sous diverses formes, qu'il s'agisse de données ou des systèmes eux-mêmes.
Le risque cyber découle de l'incertitude inhérente associée aux besoins de disponibilité des technologies et des données facilitant l'accès de nombreux utilisateurs et systèmes à d'importantes quantités d'informations. Les accès non autorisés ont des causes multiples, qu'il s'agisse d'employés distraits ou négligents, de privilèges d'accès excessifs, voire d'activités d'espionnage industriel, et lorsque les entreprises tardent à les découvrir et à les comprendre, les délais de réaction augmentent et les perturbations organisationnelles et les atteintes à la réputation sont exacerbées.
En dépit des mises en garde alarmistes entourant les risques cyber, ces derniers sont une conséquence probable des énormes avantages offerts par les technologies numériques et l'accès au Big Data. En matière de cybersécurité, plutôt que de satisfaire aux exigences minimales et d'espérer que tout ira pour le mieux, les entreprises saines s'attachent à gérer correctement le risque cyber, que ce soit en cherchant à comprendre son évolution constante ou en se dotant des meilleurs outils et techniques pour y faire face.
Gestion du risque cyber
Les entreprises qui cherchent à gérer le risque cyber doivent recourir de plus en plus à des systèmes très sophistiqués, développés et entretenus par des professionnels de haut niveau rompus à l'offre à grande échelle de solutions organisationnelles de bout en bout. Pour protéger la réputation de l'entreprise, il est également essentiel d'appréhender, de mesurer et de gérer le risque cyber en toute transparence et en toute confiance. Pour ce faire, il faut non seulement connaître les risques cyber existants, mais aussi quantifier leur impact potentiel et hiérarchiser les stratégies d'atténuation des risques en conséquence.
Dans l'entreprise, où tout est imbriqué, le risque cyber lié à un unique incident peut rapidement s'insinuer dans nombreux domaines de l'activité, occasionnant des dommages qui s'amplifient exponentiellement à mesure que l'entreprise tente de réagir et de se remettre sur pied. Au-delà des suspects habituels que sont le phishing, les rançongiciels et les violations de données, la gestion préventive et réactive du risque cyber nécessite de prendre en compte les cas de figure ci-dessous :
- Mises à niveau et mises à jour des systèmes
- Migration vers le cloud
- Implémentation de nouvelles technologies, par exemple l'Internet des objets (IoT)
- Intégration de nouvelles relations avec des tiers
- Fusions et acquisitions
- Nouvelles réglementations et réglementations mises à jour
- Résolutions de contentieux civils
- Pertes accidentelles d'informations sensibles
- Menaces malveillantes externes et internes
Pour gérer le risque cyber, il est essentiel de réagir rapidement, mais de manière réfléchie et méthodique, aux défis posés par la cybersécurité.
Bien que l'équipe informatique soit en première ligne, l'idée de cantonner la gestion des risques cyber à un seul service de l'entreprise relève d'une vision à court terme et risque fort d'aggraver les problèmes en cas d'urgence. Outre la formation habituelle à la cybersécurité, les membres de l'équipe ont besoin de procéder à des tests et à des simulations pour s'entraîner à réagir correctement aux cyber-urgences sans paniquer et sans risquer de compliquer les choses.
Délimiter le risque cyber
L'entreprise qui prend véritablement conscience du risque cyber et qui s'y prépare de manière adéquate a la possibilité de le redéfinir, en le faisant passer d'une menace persistante pesant gravement sur l'entreprise à une bonne pratique commerciale qui se double d'un facteur de différenciation sur le marché. En plus de susciter la confiance dans l'image de marque et la réputation de l'entreprise, le programme qu'elle met en place pour gérer le risque cyber peut constituer une valeur ajoutée ainsi qu'un symbole de son intégrité et de sa responsabilité aux yeux des clients, analystes, membres du conseil d'administration, investisseurs et autres parties prenantes.
Pour délimiter le risque cyber, il faut le considérer comme un problème stratégique à l'échelle de l'entreprise plutôt que comme un problème de sécurité cloisonné devant être géré par l'équipe informatique. À défaut de cibler, d'atteindre et de diffuser les connaissances fondamentales acquises dans l'entreprise autour du risque cyber, son volume et son intensité risqueront d'être perçus de manière très différente. Pour gérer le risque cyber, il faut l'évaluer et le déterminer rigoureusement.
Évaluer et déterminer le risque cyber
Même les grandes entreprises peuvent sous-estimer le risque cyber si elles se considèrent comme moins à risque parce qu'elles ne font pas partie des grandes marques, des sociétés de services financiers ou des entreprises de soins de santé qui font le plus souvent la une des journaux à la suite de cyberattaques. Cependant, le risque cyber ne se limite pas à des catégories sectorielles. En effet, les opérations numériques étendues génèrent de nombreuses vulnérabilités et les menaces peuvent provenir des horizons les plus divers. L'évaluation et la détermination du risque cyber font partie intégrante de la compréhension de la posture globale de l'entreprise en matière de cybersécurité.
Il convient de dissiper dans toute l'entreprise le mythe du hacker solitaire, malveillant, vêtu d'un sweat à capuche et tapi au fond d'un garage. Bien que les cyberattaques menées par des pirates informatiques fassent les gros titres, les employés doivent avoir conscience de l'étendue et de l'ampleur du crime organisé en matière de risques cyber, et également être au fait des nombreuses façons dont l'entreprise peut être touchée, par exemple par une défaillance technique catastrophique et l'interruption des opérations commerciales.
Identifier les éléments du risque cyber
Une discussion ouverte à tous les niveaux de l'entreprise permet d'évaluer correctement le risque cyber. Cette discussion doit être permanente et évoluer pour s'adapter aux menaces en constante mutation. Elle doit au moins aborder les thèmes suivants :
- Les vulnérabilités et expositions connues et suspectées de l'entreprise, des systèmes et des données
- Les cyberattaques récentes, leurs effets et les réactions positives et négatives des entreprises ciblées
- Les changements législatifs et réglementaires
- Les stratégies en matière de risques cyber, qu'elles soient nouvelles ou actualisées
- Les défis informatiques opérationnels, tels que le manque d'intégrité des systèmes
Les éléments spécifiques qui doivent faire l'objet d'un examen régulier sont notamment les suivants :
- Les politiques et procédures d'accès à distance
- L'utilisation d'appareils appartenant à l'entreprise dans le cadre d'activités non professionnelles
- La sureté et la sécurité des appareils, y compris les règles relatives aux programmes de type « apportez votre propre matériel » (BYOD)
- L'accès physique aux bureaux de l'entreprise
- L'intégrité du système informatique
- La reprise de l'activité après un sinistre affectant le réseau
- La documentation associée à la politique de cybersécurité
L'identification du risque cyber permet à l'entreprise de consolider sans cesse sa résilience organisationnelle, non seulement en ce qui concerne les données des clients, mais aussi les données financières internes et la propriété intellectuelle.
La quantification du risque cyber facilite, au sommet de l'entreprise, une discussion qui tient compte des buts et objectifs business et qui considère l'atténuation du risque cyber comme un facteur de résilience opérationnelle.
Gestion globale du risque cyber
La mondialisation et l'interconnectivité grandissante soutiennent l'entreprise en expansion, mais lorsqu'elles sont associées à une cybercriminalité de plus en plus sophistiquée et répandue, ainsi qu'à des cyberattaques toujours plus nombreuses et graves, le risque cyber augmente lui aussi. Exercer une activité dans des régions dotées de réglementations différentes en matière de confidentialité pose également de nombreux défis logistiques, qu'il s'agisse d'éviter les sanctions, de gérer les notifications de violation des données ou de répondre aux demandes d'accès aux données des personnes concernées.
Dans de nombreux pays, la législation en matière de confidentialité est appelée à se durcir au cours des prochaines années. Les pouvoirs publics sont également de plus en plus impliqués dans la protection des informations et des systèmes, avec pour résultat un examen plus approfondi de la manière dont les opérations commerciales sont menées.
Quelle que soit la surface d'attaque, une réaction rapide est essentielle pour gérer le risque cyber lors d'un incident de ce type, mais cette réactivité pose également de nombreux autres défis à l'entreprise internationale. Les conseils suivants sont des points importants à prendre en compte dans le cadre d'un programme de gestion globale visant à réduire le risque cyber.
Conseils pour réduire le risque cyber
Une approche universelle de la réduction du risque cyber n'est pas adaptée à l'entreprise. Les faiblesses associées aux effectifs, informations, opérations et systèmes varient considérablement d'une grande entreprise à l'autre, tout comme les solutions permettant d'améliorer la cybersécurité de manière réaliste, évolutive et durable. Une évaluation de l'expertise, des processus et de la technologie dont dispose l'entreprise, et de la façon dont ces composantes interagissent, est un bon premier pas pour déterminer ce qu'il conviendra de faire par la suite.
Mettre en place une politique de cybersécurité
- Définir l'orientation et la nature de l'approche de l'entreprise en matière de cybersécurité
- Dresser la liste des ressources à prendre en compte, des menaces anticipées qui pèsent sur elles, et des procédures et systèmes de cybersécurité qui les protègent
- Identifier les faiblesses, en particulier la dépendance excessive à l'égard de tiers et les vulnérabilités liées au « facteur humain »
- Tenir compte de l'impact des anciens appareils sur la vulnérabilité de l'entreprise et définir des normes qui évitent de dépendre de logiciels et de systèmes d'exploitation obsolètes et non pris en charge
- Comparer les obligations de conformité et réglementaires à la politique de cybersécurité de l'entreprise afin d'assurer une couverture appropriée et d'éviter des efforts redondants tout en gagnant en efficacité
- Structurer la formation et le perfectionnement des membres de l'équipe afin d'obtenir une vue d'ensemble des risques cyber auxquels s'expose l'entreprise et de répondre aux exigences en matière de cybersécurité
- Déterminer la fréquence des examens de politique de cybersécurité, ainsi que les événements qui les déclenchent, tels que les acquisitions et la création de nouvelles unités commerciales
- Contrôler et surveiller attentivement l'accès des utilisateurs aux données et aux systèmes de l'entreprise et la manière dont cet accès est utilisé dans le cadre des changements de poste et des processus d'intégration et de départ des employés
Investir plus dans la formation des employés
- Assurer un soutien fort entre les équipes informatiques et les dirigeants en quantifiant les tactiques d'atténuation des risques cyber et en prônant la résilience opérationnelle
- Accroître la sensibilisation et les connaissances tout en continuant à fournir une base solide en ce qui concerne les cybermenaces, les risques cyber, le déroulement des cyberattaques et la manière de réagir à une cyberattaque présumée
- Simuler des attaques de phishing et organiser des exercices pratiques tout en offrant aux employés des ressources leur permettant de demander de l'aide sans craindre de subir des mesures disciplinaires ou d'être ridiculisés
- Expliquer clairement les politiques en matière de BYOD, de Wi-Fi, de courrier électronique et de médias sociaux, les réexaminer régulièrement, et offrir aux employés la possibilité de poser des questions à tout moment
Implémenter les meilleures pratiques en matière de cybersécurité
- Créer une culture de la cybersécurité et une approche du risque cyber à la fois intelligente et réfléchie. Anticiper activement les risques émergents, y compris l'impact des nouvelles technologies sur l'entreprise
- Examine the options for mitigating cyber risk to determine the proper mix for the organization:
- Créer des opportunités permettant aux différentes parties prenantes de l'entreprise de partager leurs connaissances et de prendre part aux plans d'intervention en cas de crise cyber
- Aligner la gestion du risque cyber sur le cycle de vie de la cybersécurité de l'entreprise pour renforcer la cohérence des mesures d'atténuation et de reprise de l'activité
- Tenir compte de la cybersécurité et de l'équilibre dans l'affectation des ressources, parallèlement à la planification et à la réaction à d'autres risques et perturbations, tels que ceux qui ont une incidence sur la chaîne d'approvisionnement
- Mettre en place un programme de gestion du risque cyber fondé sur les données et faisant appel à des outils de veille sur les risques et les menaces, de modélisation économique fondée sur les risques et de quantification
- Solutions technologiques, notamment les logiciels et le matériel de cybersécurité
- Formations et conseils, par exemple évaluation du risque cyber, modélisation des pertes basée sur des scénarios, analyse d'impact, analyse comparative et gestion de la réputation
- Services, par exemple tests de pénétration, traque des menaces et détection des points d'entrée (terminaux)
Générer des indicateurs clés de performance (KPI) relatifs au risque cyber
Si la quantification de l'exposition aux risques cyber aide l'entreprise à comprendre l'efficacité des contrôles de cybersécurité d'un point de vue financier, la sélection de KPI permet de basculer vers la mise en place d'un plan mesurable et évolutif d'atténuation du risque cyber. Voici quelques exemples d'indicateurs clés de performance associés au risque cyber :
- Niveau de préparation
- Efficacité de la hiérarchisation des risques cyber
- Nombre d'expositions
- Identification des ressources vulnérables au risque cyber
- Gestion des accès utilisateurs et application du principe du privilège minimum
- Appareils non identifiés sur les réseaux internes
- Cote moyenne de sécurité fournie par des plates-formes tierces de notation
- Financial consequences of cyber risk
- Tentatives d'intrusion
- Incidents de cybersécurité
- Délai de réaction en cas d'incident concernant des tiers
- Délai de détection du risque cyber
- Délai d'endiguement du risque cyber
- Délai de remédiation du risque cyber
- Perte de revenus
- Baisse du cours des actions
- Perte de productivité
- Sanctions financières
- Frais de contentieux
Foire Aux Questions sur le risque cyber et la cybersécurité
Le paysage des risques cyber et de la cybersécurité est en constante évolution. En matière de risque cyber, toute innovation technologique s'accompagne de nouveaux défis, parallèlement aux avantages de la technologie elle-même. Par exemple, l'Internet des objets (IoT) a élargi la surface d'attaque pour de nombreuses entreprises, les cybercriminels ayant rapidement commencé à mettre à profit les nouvelles opportunités créées par le renforcement de la connectivité.
Ci-dessous sont posées les questions fréquentes sur les risques cyber et la cybersécurité qui peuvent aider à comprendre comment atténuer les risques cyber.
Qu'est-ce que la cybersécurité ?
La cybersécurité décrit la protection des informations, données, programmes, réseaux et systèmes contre les accès non autorisés. Afin de protéger ces ressources contre les cyberattaques, il faut se doter d'un programme de cybersécurité solide, évolutif et en mesure de suivre le rythme de l'évolution des menaces.
La cybersécurité est de plus en plus exigeante, non seulement du fait de la multiplication des menaces, mais aussi dans la mesure où l'entreprise est responsable d'un plus grand nombre de données et de systèmes en raison de l'évolution des besoins technologiques. Pour faire face aux cyberattaques, les entreprises ont besoin de mettre en place des capacités de veille économique sophistiquées, et elles doivent être prêtes à investir en permanence dans le personnel, les processus et les technologies permettant d'améliorer la cybersécurité et d'atténuer les risques cyber.
Quel est le lien entre risque cyber et cybersécurité ?
Le terme « cybersécurité » englobe les processus, les pratiques et les technologies utilisés par les entreprises pour protéger les données et les systèmes. La cybersécurité permet à l'entreprise d'atténuer les risques cyber et de reprendre ses activités à la suite d'une cyberattaque.
Le risque cyber plane sur toute entreprise ayant recours à la technologie. La cybersécurité s'attaque au risque cyber en détectant et en corrigeant les lacunes en matière de cybersécurité. La cybersécurité contribue à réduire l'éventualité d'une cyberattaque, à limiter le risque cyber et à faciliter la reprise de l'activité en cas de cyber-incident.
Qu'est-ce qu'une cyberattaque ?
Une cyberattaque se produit lorsque des cybercriminels tentent d'exposer, de détruire ou de voler des informations ou des données en accédant frauduleusement à des systèmes électroniques. Les attaques par logiciel malveillant, rançongiciel, phishing et déni de service sont autant de types de cyberattaques.
La finalité des cyberattaques est une chose dont l'entreprise doit impérativement tenir compte lorsqu'elle conçoit des plans visant à minimiser le risque cyber. Les attaques ciblées visent une entreprise bien précise, tandis que les cyberattaques non ciblées touchent le plus grand nombre possible d'utilisateurs, d'appareils, de services ou de systèmes.
Quelles entreprises sont exemptes de tout risque cyber ?
Si certains secteurs et certaines entreprises sont moins souvent ciblés que d'autres, toutes les entreprises qui utilisent des données et des technologies n'en demeurent pas moins vulnérables aux cyberattaques et doivent anticiper et se préparer à atténuer les risques cyber.
Qui est responsable de la cybersécurité dans l'entreprise ?
S'il est vrai que le responsable de la sécurité de l'information (CISO), le directeur des systèmes d'information (CIO) ou le chef de la sécurité (CSO) est techniquement responsable de la cybersécurité, qu'il en assure le leadership, et qu'il sera généralement comptable des incidents de cybersécurité, dans l'entreprise, chaque employé doit néanmoins comprendre comment suivre les politiques et procédures et doit assumer son rôle dans leur mise en œuvre et leur maintien. Compte tenu de l'ampleur de l'entreprise et du paysage des menaces, il n'est pas envisageable d'oublier la cybersécurité, sauf lorsque l'on suit activement des formations.
Quelles sont les composantes essentielles de la sécurité de l'information ?
Les trois piliers de la sécurité de l'information (InfoSec) sont la confidentialité, l'intégrité et la disponibilité.
- Confidentialité : veiller à ce que les systèmes soient protégés contre les accès externes non autorisés
- Intégrité : s'assurer que les données n'ont pas été altérées et qu'elles sont correctes et fiables
- Disponibilité : veiller à ce que les applications, réseaux et systèmes fonctionnent et soient disponibles en temps voulu
Ces trois piliers constituent la base de la création et du maintien d'un programme de cybersécurité à toute épreuve. Préserver la confidentialité, l'intégrité et la disponibilité permet à l'entreprise de mieux comprendre comment le risque cyber correspond aux principaux objectifs de sécurité.
Quelle est la différence entre « risque cyber » et « cybermenaces » ?
Le terme « risque cyber » renvoie à l'impact que peut faire peser une cybermenace sur une entreprise. Il prend en compte les répercussions possibles d'un cyber-incident, notamment les pertes financières, l'impossibilité de mener des activités, le stress opérationnel, les dommages aux systèmes techniques et la détérioration de la réputation et de l'image de marque de l'entreprise.
Le terme « cybermenace » désigne tout événement au cours duquel les données et les systèmes d'une entreprise peuvent être affectés par un accès non autorisé à sa technologie, y compris l'altération, la divulgation non autorisée de données, et les éventuels dommages. Les cybercriminels exploitent les cybermenaces pour voler ou détruire des données, et leurs motivations sont multiples : gains financiers, activisme, espionnage, etc.
Qu'est-ce que l'assurance des risques cyber ?
L'assurance des risques cyber offre un soutien spécialisé dans le cadre de la gestion des répercussions d'une violation de la confidentialité des données, d'une attaque par rançongiciel ou d'une autre cyberattaque, ainsi qu'une couverture permettant à l'entreprise de reprendre ses activités le cas échéant. Une telle assurance peut également fournir une assistance en cas de dommages causés à des tiers, de frais juridiques et d'incidences réglementaires résultant d'une cyberattaque. Des services liés au risque cyber, tels que la formation des employés, la préparation et la réponse aux incidents, et l'analyse des preuves, peuvent également être proposés.
L'assurance des risques cyber représente une part infime, mais croissante, du secteur de l'assurance. Les entreprises qui gèrent de grandes quantités de données personnelles et qui s'appuient sur la technologie numérique sont les plus susceptibles d'envisager la souscription d'une assurance des risques cyber. Les chaînes d'approvisionnement augmentent également l'exposition de certaines entreprises. La prise de conscience de l'impact organisationnel et des coûts potentiels découlant d'une cyberattaque sur la chaîne d'approvisionnement peut susciter l'intérêt de l'entreprise et l'amener à souscrire une assurance des risques cyber.
Les nombreux avantages de l'atténuation des risques cyber
À mesure que l'entreprise continue de croître et de se développer en tirant parti de nouvelles technologies et ressources, le risque cyber augmente et la cybersécurité se révèle de plus en plus complexe. L'analyse approfondie des ressources et des identités dans tous les environnements permet à l'entreprise de suivre l'évolution des vulnérabilités et d'établir des priorités stratégiques sur la meilleure façon d'aborder le risque cyber dans l'optique de soutenir les buts et les objectifs de l'entreprise.
Outre les avantages évidents de l'atténuation des risques cyber, tels que la réduction des pertes financières et des temps d'arrêt, l'entreprise qui implémente un solide programme de gestion du risque cyber peut se montrer plus confiante dans sa propre capacité à respecter les exigences réglementaires et de conformité, à gérer les cyber-incidents avec moins d'inquiétude quant à la perte de données et aux systèmes touchés, et à jouir d'une plus grande tranquillité d'esprit en ce qui concerne sa propre stabilité.