Cyber-sécurité et cyber-assurance (Pr Jean-Paul Louisot)

« Les responsables de la sécurité sont soumis à beaucoup de pression pour montrer des gains rapides tout en sachant très bien que tout ce qu'ils font sera scruté à la loupe et contesté, et finalement, ils paieront le prix pour des choses qui ne sont pas sous leur contrôle. » (Yaron Levi)

La plupart des professionnels considèrent le cyber-risque comme un préjudice potentiel des systèmes informatiques et de communication d'une entreprise. Cette vision étroite est due au fait que les entreprises signalent plus fréquemment les violations de données et les cyber-attaques dues à des défaillances des systèmes informatiques d'un organisme.

Cependant, le terme cyber-risque va bien au-delà puisqu'une cyber-violation peut entraîner des perturbations commerciales, des atteintes à la réputation, des vols de propriété intellectuelle et des pertes de productivité. Tous ces facteurs sont considérés comme des cyber-risques graves, qui peuvent compromettre la capacité opérationnelle de l'organisme et nuire à la continuité de ses activités.

Par conséquent, les entreprises doivent adopter une approche plus large de la gestion des cyber-risques. L'approche devrait mettre l'accent sur l'obtention d'une visibilité globale à l'échelle de l'entreprise sur la posture globale d'un organisme en matière de cyber-risque, avec une vue en temps réel de ces risques, y compris ceux provenant de tiers. La quantification des risques, l'établissement des priorités et les capacités de communication qui transmettent les renseignements clés au Conseil d'administration sont importants dans une approche globale de gestion des risques. Cependant, ce n'est pas facile.

De nombreuses entreprises ont reconnu l'importance de la gestion du risque cybernétique et l'ont déjà fait progresser dans l'échelle des priorités en allouant des ressources accrues pour lutter contre les cyber-menaces. En 2019, une enquête sur la perception du risque a montré que 79 % des entreprises ont placé le risque cybernétique parmi leurs cinq principales priorités. Mais qu'est-ce qui empêche les entreprises de gérer plus efficacement les cyber-risques ?

Le rythme croissant de la transformation numérique élargit les surfaces d'attaque, rendant le paysage des risques difficile à prévoir. L'adoption de technologies et de stratégies plus récentes comme l'engagement de fournisseurs tiers, l'accès à distance, l'utilisation de services mobiles et l'externalisation des services augmente l'exposition au risque.

Ainsi, bien que les dirigeants reconnaissent le besoin, ils ont encore du mal à avoir une visibilité et un accès aux données, à mesurer l'impact potentiel et, surtout, à communiquer avec le Conseil. Dans ce contexte, quels sont les principaux défis auxquels les entreprises sont confrontées dans la gestion des cyber-risques ?

*Manque de visibilité des risques : les responsables de la sécurité des services informatiques (RSSI) et les équipes de sécurité chargées de protéger leurs actifs informatiques contre les rançongiciels et les attaques de phishing ne disposent pas des outils capables d'avoir une vision globale unifiée des risques et des tendances qui aideront les dirigeants à réagir plus rapidement aux risques émergents.

Un cyber-risque résultant d'une cyber-violation accidentelle d'un fournisseur tiers ou d'un partenaire extérieur à l'entreprise peut perturber l'ensemble de la chaîne d'approvisionnement et nuire à l'entreprise.

Les entreprises ont besoin de solutions avec des informations sur les menaces exploitables pour protéger l'organisme contre les mauvais acteurs. Ils doivent avoir accès à des solutions capables d'identifier toutes les menaces émergentes et de fournir une meilleure visibilité des risques pertinents pour leur entreprise. Le contrôle continu (CCM) est un ensemble automatisé de technologies qui testent et surveillent les systèmes et les fonctions commerciales en continu. La technologie aide les professionnels du risque à évaluer les contrôles de sécurité, à identifier les lacunes et à résoudre les problèmes de manière proactive.

*Quantifier et prioriser les cyber-risques : Les entreprises ont généralement de la difficulté à prioriser les cyber-menaces parce qu'elles n'ont pas les outils nécessaires pour quantifier les risques. Les chefs d'entreprise ne peuvent pas discerner les risques qu'ils devraient aborder sans quantifier le risque. Cependant, en utilisant les bons outils et les bonnes solutions, les entreprises peuvent évaluer l'impact du cyber-risque en valeur monétaire.

Les décideurs peuvent utiliser cette information pour prioriser les risques et les investissements en quantifiant l'incidence financière réelle des risques. La quantification des cyber-risques aide les organisations à comprendre où elles doivent investir et combien d'investissement est suffisant.

La quantification des risques aide les décideurs à identifier de manière proactive les risques et à mettre en place des contrôles de sécurité robustes. Les chefs d'entreprise peuvent utiliser l'information pour décider des mesures qui mènent à une plus grande résilience et à une meilleure performance de l'entreprise. Les techniques et outils de quantification des cyber-risques qui aident à communiquer les risques de manière simple et facile à comprendre sont pratiques pour quantifier l'ampleur des perturbations opérationnelles que l'entreprise …

Pour lire la suite de cette étude, publiée dans le numéro 764 du magazine RiskAssur-hebdo, du 06/10/2023, cliquez ICI