Appréhender la cybersécurité par le prisme des risques opérationnels

Suite à la pandémie, les organisations sont plus exposées que jamais aux risques cyber. Chacune, quand elle n’y est pas contrainte, doit appréhender la menace de manière pragmatique. Pour cela, nous explique Laurent de la Vaissière, il faut commencer par mieux évaluer les risques opérationnels.

Laurent De La Vaissière, Partner – KPMG

Si la pandémie a accéléré la transformation numérique des organisations, elle a aussi pour conséquence de les exposer davantage aux cyber-attaques. Du jour au lendemain, pour faire face à l’urgence, on a vu des organisations adopter de nouveaux outils, mettre en oeuvre de nouvelles manières de travailler, à distance. « Sans la crise, de telles transformations auraient pris des années. Personne n’aurait pu imaginer un changement aussi rapide, commente Laurent de la Vaissière, Partner au sein de KPMG Luxembourg. Mais si les entreprises se sont adaptées, les cybercriminels aussi. Ils ont multiplié les attaques, profitant avec malice du contexte dans lequel chacun s’est retrouvé. »

UNE MENACE RENFORCÉE

Bien plus qu’avant la crise, nous sommes accrochés aux outils numériques et dépendants de nouvelles technologies pour mener à bien notre travail. Au-delà des nouvelles vulnérabilités techniques, liées à un déploiement précipité de solutions numériques, les attaquants cherchent à profiter du contexte social pour compromettre une organisation. « Chez soi, face à une demande de paiement qui arrive par e-mail, on n’a pas forcément l’opportunité de se retourner vers son collègue pour lui demander ce qu’il en pense, explique Laurent de la Vaissière. Les cybercriminels, en outre, sont sans scrupule et utilisent tous les subterfuges, n’hésitant pas à bloquer des organisations de soins de santé ou encore des services publics venant directement en aide à des personnes dans le besoin pour réclamer des rançons de plus en plus conséquentes. Selon les cyber-assureurs US, le coût moyen associé à une attaque au rançongiciel s’élève désormais à 1 million de dollars. »

Aujourd’hui, les cybercriminels ne manquent pas de ressources pour opérer. On assiste à l’émergence d’une réelle industrie, avec par exemple l’apparition de plateformes ransomware as a service. Des acteurs se spécialisent dans le développement de solutions permettant à d’autres d’opérer des méfaits. Les cyber-attaques sont, en outre, de plus en plus sophistiquées, pour tromper l’utilisateur, l’inviter à cliquer sur un lien ou à ouvrir un fichier infecté.

UNE PRIORITÉ POUR LES DIRIGEANTS

Considérant ces enjeux, la cybersécurité doit figurer très haut dans la liste des priorités des dirigeants. Selon la dernière KPMG CEO Pulse Survey, menée à l’échelle globale, les cybermenaces sont désormais considérées par les dirigeants comme le risque le plus élevé auquel est exposée l’entreprise. Dans cette ère numérique, une cyberattaque peut en effet entrainer d’autres risques : perte d’exploitation, coût de restauration des systèmes IT, compensation à payer aux clients, risque juridique et réglementaires, perte de réputation…

DES MESURES DE BASE

La prise de conscience de ces enjeux doit d’abord inviter chaque organisation à prendre des mesures élémentaires. « Il faut commencer par la base, en remédiant aux vulnérabilités connues depuis plusieurs années et, pourtant, encore très régulièrement exploitées, commente Laurent de la Vaissière. La sensibilisation et la formation de tout le personnel à ces enjeux sont aussi très importantes. L’humain est une ligne de défense essentielle. Si chacun est averti, il peut plus facilement détecter une tentative d’hameçonnage et la rapporter. »

Pour l’associé de KPMG, au regard des évolutions qui ont eu lieu ces derniers mois, il faut aussi s’interroger sur les dernières technologies déployées pendant la pandémie. « Au-delà, les personnes en charge de la cybersécurité doivent plus que jamais se mettre dans les chaussures des hackers, pour déceler les vulnérabilités, voir comment elles peuvent être croisées, comprendre les scénarios d’attaques, les simuler, pour mieux protéger l’ensemble de l’environnement », explique-t-il. Enfin, il est primordial d’effectuer régulièrement des sauvegardes fonctionnelles et sécurisées. « En cas d’incident, ce sont les sauvegardes qui permettront de remettre rapidement sur pied les opérations et d’éviter d’avoir à payer une rançon, ajoute Laurent de la Vaissière. Encore faut-il s’assurer que ces sauvegardes ne sont pas elles-mêmes infectées. »

CONSIDÉRER LE RISQUE OPÉRATIONNEL

Si l’exposition au risque cyber est plus élevée que jamais, il convient d’adapter les processus de gestion du risque opérationnel. « Jusqu’à présent, par rapport à ce que représente le risque financier, la gestion du risque opérationnel était encore considérée comme l’enfant pauvre », assure le Partner de KPMG. Cela est en train de changer. Les structures doivent se doter d’une gouvernance adaptée et considérer les enjeux liés à la compromission de leurs systèmes de manière globale, en mettant en oeuvre de nouveaux processus de gestion des risques allant jusqu’à inclure les sous-traitants. « Une approche s’appuyant sur une bonne gestion des risques opérationnels permet en outre de mettre en oeuvre des réponses proportionnées, tenant compte de la menace réelle, du contexte de l’entreprise, poursuit Laurent de la Vaissière. Pour les organisations, cette démarche permet aussi de mieux appréhender la vague réglementaire relative à la résilience des acteurs et à la protection des données que l’on voit déferler actuellement. »

VAGUE RÉGLEMENTAIRE

Car si les acteurs les plus matures ont compris les enjeux et ont pris les mesures qui s’imposent, toutes les organisations, à commencer par celles considérées comme critiques, seront contraintes de leur emboîter le pas par la réglementation. La directive NIS, qui fait l’objet d’une procédure de révision, les guidelines définies par l’EBA ou encore le Digital Operational Resilience Act (DORA) sont quelques exemples des réglementations qui s’imposent aujourd’hui en matière de cybersécurité et de gestion des risques opérationnels. « En documentant le risque et les mesures prises, chaque acteur pourra justifier la pertinence de sa démarche et recourir au principe de proportionnalité prévu dans la plupart des réglementations, ajoute Laurent de la Vaissière. L’important est de pouvoir démontrer que l’on a apporté des réponses suffisantes au regard du risque identifié. Partir des risques opérationnels constitue donc une approche pragmatique pour bien investir dans la cybersécurité. »

Aucun commentaire pour le moment.

Réagissez à cet article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *