Selon la dernière « Cartographie prospective 2024 des risques dans les métiers de l’assurance et de la réassurance » de France Assureurs, le risque de cyberattaque reste en tête des préoccupations pour l’année 2024.
Dans un environnement où les menaces sont de plus en plus aiguës et où les surfaces vulnérables aux attaques ne cessent de croître, la patience des responsables de la sécurité des systèmes d’information (RSSI) est mise à rude épreuve.
Lorsque les données d’une entreprise sont volées, quelle que soit la qualité de son système de sécurité, cela marque le grand public qui devient méfiant. A l’inverse, peu de visibilité sur les attaques déviées ou sur les mesures et actions prises au quotidien pour sécuriser les données d’une structure.
Pour un RSSI, le risque qu’un incident survienne malgré les systèmes de sécurité en place est permanent, et cette pression peut être lourde à supporter. Les politiques de protection sont-elles suffisantes pour limiter les dommages résultant de menaces connues ? Les équipes de sécurité ont-elles reçu la formation et les explications nécessaires ? A-t-il personnellement fourni suffisamment d’informations pour donner à ses collègues les moyens d’agir en cas d’attentat ?
La sécurité, une priorité pour toute l’entreprise
Les risques d’attaque sont élevés et il est très probable que les entreprises soient tôt ou tard la cible d’actions malveillantes. Même si nombre d’entre eux, ayant investi beaucoup de temps et de ressources dans leur stratégie de cybersécurité, parviennent à déjouer les attaques et à limiter les dégâts, les médias évoquent plus souvent ceux dont la protection a échoué.
La majorité des RSSI sont conscients des risques d’attaques et de leurs conséquences désastreuses, et mettent tout en œuvre pour sensibiliser les entreprises. Ils ne sont cependant pas responsables de la gestion de ces risques pour le compte de l’entreprise. Leur mission est de présenter toutes les informations utiles aux équipes en charge des décisions.
Ainsi, les RSSI doivent être capables de collaborer et de discuter librement avec les managers afin de faire les bons choix pour la stratégie globale de l’organisation.
Ils ont donc un rôle à jouer dans la communication des risques et dans le conseil sur leurs impacts. Dans le même temps, ils veillent à ce que l’entreprise continue d’investir dans des outils de cybersécurité de bout en bout. Ils doivent être en mesure de fournir des informations tangibles et quantifiables sur les dommages causés par les incidents. Pour ce faire, avoir une connaissance significative du marché et des temps de réaction en fonction des attaques est nécessaire : plus celles-ci sont longues, plus les dégâts risquent d’être importants.
Malheureusement, de nombreux RSSI sont aujourd’hui confrontés à une grave pénurie de compétences. Sans remplacer les emplois déjà existants, la mise en œuvre démocratisée de l’IA permet d’automatiser certains systèmes, en anticipant les besoins des entreprises.
Les conseils d’administration abordent ces nombreuses questions et sont censés avoir toutes les réponses techniques bien sûr, mais aussi une bonne compréhension des enjeux commerciaux, sans oublier les propositions de réduction des coûts.
Les changements dans les politiques des entreprises suivent le rythme des menaces
La pression que peuvent subir les RSSI est due à la valeur des données, dont le volume croissant ne fait qu’augmenter la surface exposée aux attaques. Avec la quantité d’informations stockées et accessibles via le cloud, la surveillance et la gouvernance deviennent de plus en plus complexes. Désormais, la gestion des surfaces ne concerne plus seulement le réseau et les appareils, elle doit inclure le cloud.
De même, face aux ransomwares, de nouvelles tactiques impactent la valeur des données. Il ne s’agit pas seulement de les protéger, mais aussi d’assurer leur intégrité et leur confidentialité. Le cryptage seul ne suffit pas toujours, ce qui explique la volatilité actuelle des primes d’assurance pour ce type d’incident.
Il n’est désormais plus judicieux de s’appuyer sur d’anciens dispositifs de protection encore trop souvent utilisés. Réfléchir constamment aux systèmes de contrôle et aux exceptions actuels et futurs, et à la manière de les gérer, fait partie du rôle du RSSI et doit donc s’accompagner des outils les plus efficaces pour répondre aux menaces et aux risques associés.
Anticiper pour lutter contre la complexité
De nombreuses entreprises considèrent la complexité comme l’ennemi ultime. Mais plutôt que de le combattre, ils le retardent souvent, ce qui ne fait qu’empirer la situation.
Malheureusement, la complexité d’un environnement informatique n’est pas un problème que le RSSI peut résoudre seul. De nombreuses décisions doivent être prises en fonction de besoins et de situations spécifiques plutôt que d’une stratégie globale. Le rôle d’un RSSI est donc de réduire et gérer les risques en les présentant de manière concise à ses managers et aux autres fonctions concernées, tout en gardant un œil sur les contraintes budgétaires.
Certes, le quotidien des RSSI n’est pas de tout repos, mais ils ont aussi des raisons d’être optimistes. Des améliorations radicales des réglementations, des normes et des systèmes sont nécessaires, y compris des mises à jour des mesures existantes qui prennent en compte le besoin d’innovation dans les systèmes de contrôle (le règlement ISO, par exemple, a été mis à jour de sa version de 2013 à celle de 2022 pour prendre en compte les bouleversements technologiques de cette dernière décennie).
Sur le plan humain, les RSSI sont aujourd’hui capables de dialoguer avec les fonctions managériales pour mieux les impliquer dans leurs processus de décision. Les débats sur la cybersécurité s’ouvrent à un plus grand nombre d’acteurs, ne se limitant plus aux équipes spécialisées.
