Face à des cyber menaces toujours plus nombreuses et sophistiquées, les RSSI doivent multiplier les couches de sécurité dans le but de protéger les systèmes d’information contre les risques de compromission.
Une prolifération d’outils technologiques qui ajoute une complexité opérationnelle à des difficultés quotidiennes dans la gestion du risque cyber.
Ajoutons à cela, un cadre réglementaire qui se densifie, avec des exigences de conformité toujours plus strictes comme DORA, le Cyber résilience Act, le RGPD et bientôt NIS 2. L’ensemble de ces textes impose aujourd’hui des obligations qui ne se limitent plus à la mise en œuvre de mesures de sécurité, mais qui concernent des aspects de documentation et de traçabilité.
Dans ce contexte, le pilotage de la cybersécurité peut s’avérer compliqué pour le RSSI et une mauvaise gestion peut entraîner des coûts supplémentaires pour l’entreprise. Quels sont ces coûts ? Comment les anticiper et les éviter ? Explication dans cet article.
Un pilotage cyber toujours plus complexe
Lorsque par le passé, la protection des systèmes se résumait souvent à de simples mesures préventives, la diversité et la sophistication des menaces exigent aujourd’hui des stratégies plus élaborées.
Une tendance observée dans le choix des cibles des cyberattaquants comme l’explique Baptiste David, Head Of Market Strategy chez Tenacy : « Non seulement les cybercriminels démontrent une forte capacité à innover, mais ils semblent également avoir de moins en moins de limites éthiques. Ce constat est flagrant quand on observe des institutions comme la Croix Rouge ou des hôpitaux se faire attaquer en pleine crise de la COVID-19. ».
Un changement de paradigme qui demande aux entreprises de s’adapter. Car s’il y a 10 à 15 ans, les sociétés adoptaient une approche minimaliste, en installant par exemple un antivirus sans y adjoindre une action de suivi, cette démarche n’est plus suffisante aujourd’hui. L’antivirus, parmi tant d’autres outils, nécessite désormais une documentation, un suivi, et doit s’inscrire dans une stratégie plus large de cybersécurité. Baptiste David insiste sur ce point : « La conformité, c’est faire, mais c’est aussi faire savoir et c’est aussi tracer et documenter ».
Parallèlement et en réponse à cette situation, les exigences réglementaires se sont multipliées comme le démontre la directive NIS 2. Dans un contexte de pénurie de main-d’œuvre et sous le poids de ces contraintes, le pilotage de la cybersécurité semble être une mission périlleuse avec au mieux une vision parcellaire du système d’information et dans le pire des cas une augmentation des risques pour l’entreprise.
Un pilotage cyber toujours plus complexe ?
L’empilement inutile de solutions
Le premier effet d’un mauvais pilotage est d’entraîner des investissements importants dans des solutions de sécurité qui, au lieu d’offrir une protection adéquate, sont simplement empilées les unes sur les autres.
Un cas communément observé est celui d’investir dans plusieurs solutions de protection anti-malware dans le but de bénéficier d’une double barrière, alors qu’en réalité, ces outils pourraient entrer en conflit et diminuer l’efficacité de la détection.
Risque de non-conformité
La conformité impose de documenter et de maintenir les solutions de cybersécurité utilisées dans l’entreprise. Sans un bon pilotage cyber, il est difficile d’évaluer où se situe une organisation en termes de conformité réglementaire.
C’est notamment le cas pour les opérateurs d’importance vitale (OIV) qui ont l’obligation de se mettre en conformité avec la Loi de Programmation Militaire (LPM) sous peine de sanctions. Pour cela, l’ANSSI et d’autres services étatiques peuvent effectuer des contrôles de sécurité pour vérifier que les règles sont bien appliquées. En cas de non-respect, l’opérateur concerné recevra une injonction à se mettre en règle. Si les manquements persistent, cela peut aboutir à des sanctions financières allant de 150 000 et 750 000 euros.
Perte de business
Dans un cas plus extrême, une non-conformité peut aboutir à une perte de certification et par extension à la perte des partenaires commerciaux. Le standard ISO 27001 est par exemple requis dans le cadre d’appels d’offres. La perte de tels agréments peut rendre plus difficile l’acquisition de nouveaux clients tout en compromettant les relations commerciales existantes.
Dommages à la réputation
Les amendes publiques ou les sanctions nuisent aussi à la réputation de l’entreprise. En effet, une mauvaise presse concernant des problèmes de cybersécurité peut entraîner une perte de confiance des clients, des partenaires et des investisseurs. C’est notamment le cas, après une violation majeure des données.
Dépendance excessive à l’égard d’une seule personne
Les entreprises ont tendance à s’appuyer fortement sur leur RSSI pour gérer la cybersécurité de leurs systèmes d’information. Toutefois, cette dépendance peut poser problème si aucun mécanisme de suivi n’est établi, rendant l’entreprise vulnérable lors de l’absence ou l’indisponibilité de ce dernier. L’importance d’un bon pilotage réside donc dans la mise en place d’un outil de suivi centralisé tel que Tenacy qui ne dépend pas d’un seul individu permettant ainsi de partager l’information au sein des équipes. Cela peut se traduire par des plans d’action, des indicateurs et une feuille de route offrant une direction claire. Si un RSSI quitte l’entreprise ou si de nouveaux membres rejoignent l’équipe, une gestion structurée facilite le transfert de compétences et l’intégration de ces nouvelles ressources.
Comment anticiper et éviter ces coûts ?
Définir les objectifs et les priorités
Chaque société, en fonction de sa structure, de sa mission et de ses priorités, possède des besoins spécifiques en matière de cybersécurité. Pour certaines, la priorité pourrait être axée sur la protection des postes de travail, pour d’autres, ce serait davantage la gestion des identités et des accès.
L’identification précise des besoins de l’organisation permet de déterminer les zones prioritaires et d’orienter les ressources. Ainsi, il est nécessaire pour un RSSI de se poser les questions suivantes :
- Quels sont les risques associés aux systèmes d’information actuels ?
- Comment mesurer l’efficacité des mesures de sécurité ?
- Quels sont les outils et indicateurs pour surveiller, détecter et répondre aux incidents de sécurité ?
- Les employés sont-ils suffisamment formés et conscients des menaces potentielles ?
- Comment les objectifs de sécurité s’alignent-ils avec les objectifs globaux de l’entreprise ?
Une fois que les objectifs sont établis, il convient de les faire valider par la direction et d’indiquer les rôles et responsabilités de chacun au travers d’une PGSI (Politique Général de Sécurité de l’Information).
Baser le pilotage cyber sur des faits
Un système d’information est un environnement en constante évolution qui impose au RSSI de s’adapter en permanence. Comme le précise Baptiste David : « un RSSI ne doit pas exclusivement se fier à son instinct ou ses convictions. Même si les leçons tirées des expériences antérieures sont importantes, il faut garder à l’esprit que ce qui a fonctionné par le passé dans un contexte donné n’est pas toujours transposable à une autre entreprise. » Il s’agit donc de privilégier une approche basée sur des faits et des données.
Si l’on prend l’exemple d’une solution antivirus, sa simple acquisition ne suffit pas. Il faut s’assurer de son déploiement, surveiller son efficacité en temps réel et instaurer des indicateurs clairs pour évaluer sa couverture fonctionnelle et le niveau de protection dans l’entreprise comme le nombre d’attaques enregistrées ou le nombre de malwares stoppés.
En conclusion
Comme nous l’avons vu, les RSSI ont aujourd’hui besoin d’utiliser des outils de pilotage des actions de cybersécurité dans leur entreprise. Pour ce faire, la solution Tenacy propose un ensemble de fonctionnalités permettant de suivre les objectifs et les actions de sécurité en temps réel au travers de tableaux de bords dédiés.