La cybersécurité est morte... vive la cybersécurité !

08-10-2020, 11:45 Mise à jour le: 17-08-2022, 08:30 Source: Newsgate

Le constat s’impose dans les organisations du monde entier : la Covid-19 provoque un changement des mentalités. De nombreuses organisations ont dû revoir leurs façons de travailler très rapidement. Dans certains secteurs, le surcroît de travail a été un défi (pensez aux foules agglutinées dans les magasins d’alimentation). D’autres ont été confrontés au chômage partiel et à la nécessité de gérer le télétravail. Le passage des cols blancs de leur bureau à leur domicile comporte son lot de risques. En matière de risques liés à la sécurité et à la vie privée, nous devons tenir compte de la confidentialité, de l’intégrité et de la disponibilité des données.

Il a fallu prévoir un ordinateur portable pour le personnel qui, la veille, travaillait sur un poste de travail. Étaient-ils disponibles ? Quels sont les logiciels requis ? Une connexion externe aux applications clés est-elle possible ? Quid d’une connexion sécurisée ?

Dans certaines organisations, le nombre de connexions simultanées au VPN a provoqué une surcharge, pouvant entraîner des pannes ou même des problèmes d’intégrité. La disponibilité était souvent prioritaire dans la résolution des problèmes, parfois au détriment de la confidentialité. À titre d’exemple, des plates-formes coopératives ont été introduites au hasard. L’utilisation de nouveaux outils de communication s’est également imposée subitement. Or, tous ces éléments étaient souvent très hétérogènes. De nombreuses organisations connaissaient les failles de sécurité de Zoom, mais continuaient à l’utiliser en l’absence de décision stratégique formelle pour en changer. Dans ce contexte, mettre en place une solution qui fonctionnait l’emportait sur les questions liées à la sécurité.

La pandémie a également révélé un autre problème, à savoir le nombre de lacunes dans les processus d’approvisionnement visant à garantir la continuité des opérations et la santé publique. La question de l’intégrité des données, combinée à des responsabilités peu claires ou dispersées, a vu naître des risques accrus. Pensons par exemple à la fourniture de masques chirurgicaux en Belgique.

Ceci contraste fortement avec l’une des tendances actuelles en matière de cybersécurité : l’absence totale de confiance. ” Faire confiance c’est bien, contrôler c’est mieux ” : derrière ce slogan, un principe supposant que toute communication provient d’un environnement ouvert et doit donc être contrôlée. En outre, l’absence totale de confiance, ou les investissements en matière de cybersécurité en général, sont toujours considérés comme un pilier distinct dans un environnement commercial. Bien souvent, ces dépenses sont à peine discutées, voire effectuées au détriment d’autres investissements informatiques. Toutefois, et à la lumière des exemples précédents, il est clair que cette tendance pourrait nous donner une fausse impression de protection. L’évolution et l’émergence de nouveaux risques nous obligent à repenser la valeur réelle des choses. Nous pouvons les considérer comme le chaînon manquant de la question complexe de la sécurité, ou comme le coup de pouce nécessaire pour passer de la cybersécurité au cyberrisque. L’avenir de la cybersécurité en tant que responsabilité distincte d’un service de l’entreprise est révolu : aujourd’hui, le cyberrisque est l’affaire de tous.

Et c’est exactement ce dont les organisations ont besoin : un ensemble formel de risques où la probabilité des événements, mais surtout leur impact, sont évalués. Nous parlons ici des risques au niveau du processus, afin de mieux déterminer le niveau de contrôle requis. La détermination du niveau de contrôle devrait dépendre de la propension au risque consentie dans le secteur d’activité ou par l’équipe de direction générale. Avant de savoir où investir, une vue d’ensemble des risques tout au long du processus est nécessaire.

En matière de gestion des risques, nous constatons toutefois des niveaux de maturité très variés chez les différents acteurs. Cela va de la connaissance des principaux risques par la direction aux entreprises où leur gestion devient un système permettant de diriger efficacement l’organisation. Comme dans de nombreux modèles de maturité, la phase dite ” de définition ” de la gestion des risques désigne le moment où les risques sont documentés et où un processus est défini pour déterminer la stratégie en la matière. En outre, puisque les risques proviennent de plusieurs domaines, nous constatons souvent une approche en silo de leur gestion. Les risques de GDPR sont de la responsabilité du délégué à la protection des données, les risques relatifs à la continuité des opérations ont leur propre responsable, les risques financiers reviennent au service financier ou à l’audit interne, les risques liés à la cybersécurité ou à l’informatique en général sont gérés par le DSI.

Mais en prenant un peu de recul, nous pouvons conclure que tous les risques mentionnés ci-dessus ont pour but de préserver la continuité de notre organisation, c’est-à-dire de protéger nos actifs : les actifs physiques, les ressources humaines et, bien sûr, nos informations. Fujitsu plaide donc en faveur d’une approche de sécurité intégrée, ou d’une responsabilité dispersée du cyberrisque. Cette approche requiert un ensemble de capacités diverses, qu’il n’est pas possible de trouver chez une personne. Par conséquent, les entreprises à la recherche de ressources complémentaires doivent opter pour une approche à la ” Casa de papel “, où chaque rôle est bien défini. Différents experts sont affectés en fonction des besoins, mais le budget global reste le même. Seule l’intégration de la connaissance des processus, de l’expertise en matière de gestion des risques et de l’excellence technologique, le tout combiné dans un ” guichet unique “, permettra d’optimiser réellement les investissements en matière de cyberrisques. La direction pourra alors souffler, au moins lorsqu’il s’agit de protéger les actifs.

Nicolas Delcroix – Governance, Risk & Compliance Lead @ Fujitsu Belgium