+ 33 1 53 75 82 00

Gestion du
cyber-risque

Entre la prolifération des cyberattaques et la menace permanente d'une compromission de données, les entreprises vivent désormais avec une épée de Damoclès au-dessus de leur tête. D'où l'importance capitale d'un programme de cybersécurité à toute épreuve. Ce guide vous invite à découvrir les origines et les auteurs de ces attaques, avant de définir les différentes étapes de la création ou du renforcement de votre programme de cybersécurité.

Qu'est-ce que le cyber-risque ?

L'Institute of Risk Management britannique définit le cyber-risque comme « tout risque de perte financière, de perturbation ou d'atteinte à la réputation d'une entreprise issu d'une défaillance de ses systèmes d'information ». Avec la transformation digitale, l'apparition de business models disruptifs et l'adoption rapide de nouvelles technologies comme la mobilité et le cloud, la surface d'attaque des entreprises ne cesse de s'accroître et de les exposer à de nouvelles menaces. Dans ce contexte, plus question de reléguer la sécurité au second plan.

Gestion du risque de cybersécurité : un bref rappel historique

Depuis la fin des années 1980, les systèmes numériques sont la cible de hackers qui tentent d'y accéder sans autorisation et d'y voler des informations. Dès 1989, le ver Morris  provoquait ce que l'on considère aujourd'hui comme la première grande attaque par déni de service (DoS) de l'histoire, avec pas moins de 6000 ordinateurs infectés et un préjudice estimé entre 100 000 et 10 millions de dollars. Morris ouvrit donc la voie à des attaques dont l'ampleur atteint aujourd'hui des millions de systèmes, avec une facture globale qui s'alourdit sans cesse (souvenez-vous de la cyberattaque sur l'enseigne américaine Target en 2013 et ses 40 millions de cartes bancaires exposées).

Dans les premiers temps, des équipes d'intervention CERT (Computer Emergency Response Team) étaient déployées pour réparer les dégâts après un incident, sans toutefois disposer de moyens de prévention de nouvelles attaques. Puis les logiciels antivirus sont apparus, s'imposant rapidement comme la référence et le principal outil de cybersécurité face aux attaques. Cette mission, les antivirus l'ont plutôt bien remplie jusqu'au début de la décennie 2010. C'est alors que l'on a commencé à observer une augmentation de l'ampleur et de la gravité des cyberattaques. Parmi les plus récentes et les plus médiatisées, on citera notamment WannaCry and Eternal Blue, deux attaques qui ont fait vaciller des forteresses de sécurité comme la NSA. Au lieu de chercher la solution infaillible, les entreprises ont dû se rendre à l'évidence : il leur faut désormais diversifier leur arsenal et donner à leur équipe de sécurité les moyens de maintenir une longueur d'avance sur les cybercriminels.

D'où viennent les cyberattaques ? 

On utilise le terme « attaquant » pour désigner la personne ou le groupe qui orchestre ou mène des activités cybercriminelles. Notre dernier Rapport d'investigation sur les compromissions de données recense les groupes à l'origine de la majorité des compromissions :

Crime organisé : Ces attaquants appartiennent à la branche des cybercriminels dont la principale motivation est l'appât du gain. Ils cherchent généralement à faire main basse sur les données personnelles de vos clients ou vos salariés (numéros de sécurité sociale, dossiers médicaux, cartes de paiement, coordonnés bancaires, etc.). Une autre méthode en vogue consiste à paralyser les systèmes critiques d'une entreprise et à les débloquer contre rançon.

Espionnage d'État : Ces groupes sont généralement motivés par des visées politiques, économiques, techniques ou militaires. Leur mission consiste donc à mener des actions de renseignement. L'espionnage d'État a atteint une telle ampleur qu'il représente aujourd'hui 79 % de toutes les compromissions impliquant des acteurs externes.

Hacktivistes : Ces attaquants aux motivations politiques cherchent à diffuser de la propagande ou à sensibiliser l'opinion publique à la cause qu'ils défendent. Ce type d'attaque est sur le déclin ces dernières années.

Ennemi de l'intérieur : Il s'agit de personnes disposant d'un accès interne aux données d'une organisation. Le profil type est celui d'un salarié en poste, même si l'on observe aussi d'anciens salariés ou partenaires en quête de revanche ou de gain financier.

Utilisateurs internes : Dans ce type de scénario, la compromission est la résultante d'une erreur ou d'une mauvaise gestion des données par des collaborateurs de bonne foi. Entre problèmes de réseau, faiblesse des protocoles de gestion des données et permissivité des droits d'accès des salariés, les raisons peuvent être multiples.

Standardisation de la gestion du cyber-risque

À l'heure où la cybersécurité est devenue une priorité absolue pour les entreprises, des procédures et protocoles standardisés de gestion du risque ont vu le jour. Parmi les modèles de risque pour les opérations et la sécurité informatique, nous citerons par exemple FAIR, ISO, COSO ou NIST. 

L'organisme COSO définit la gestion du risque d'entreprise comme un « processus, avalisé par le conseil d'administration, la direction ou toute autre autorité de l'entreprise, appliqué dans la déclinaison de la stratégie et dans toute l'entreprise, conçu pour identifier les événements susceptibles de nuire à l'entreprise et à maintenir le niveau de risque dans la limite d'appétence définie par l'entreprise, dans le but de garantir raisonnablement l'atteinte des objectifs de l'entreprise ». 

Ces modèles ont fait émerger trois grands axes qui servent de fondation à la résilience opérationnelle et à l'atténuation du cyber-risque :

1. Structure de gouvernance : la gestion du risque doit s'inscrire dans une démarche descendante (top-down). Étudiez la possibilité de créer un comité risque en liaison directe et régulière avec le Comex. Ce comité pourra établir un protocole robuste de gestion du cyber-risque et veiller à son application dans l'ensemble de l'entreprise.

2. Appétence au risque : Une entreprise doit fixer le niveau de risque qu'elle est prête à tolérer. Après tout, à l'ère d'Internet, toute activité commerciale est inévitablement soumise à un certain niveau de risque. En déterminant votre appétence au risque, vous donnez à tous vos collaborateurs les repères nécessaires pour donner l'alerte dès qu'ils perçoivent une vulnérabilité potentielle.

3. Politique et procédure : Votre plan de gestion du risque doit s'intégrer naturellement à votre culture d'entreprise. Déclinez votre politique de gestion du risque à tous les niveaux de l'entreprise. En ce sens, tous les salariés doivent avoir un minimum de maîtrise des concepts de risque et savoir les mettre en œuvre dès le premier jour. Dressez un inventaire de toutes les ressources impliquées dans le cycle de vie des données et développez des politiques de réduction des risques et vulnérabilités pour chacune d'entre elles.

L'absence de bonnes pratiques de gestion du risque peut avoir des conséquences désastreuses. Les entreprises sont alors à la merci d'une compromission de leurs ressources et d'incidents menaçant l'intégrité de leur activité. Le préjudice peut alors se chiffrer en perte de clients, en amendes infligées par les autorités, voire en poursuites judiciaires. Les entreprises françaises et européennes ne sont que trop conscientes des obligations de confidentialité et de gestion des données stipulées dans le Règlement général sur la protection des données (RGPD). En cas d'infraction, les amendes peuvent être énormes, surtout si l'on considère que le RGPD n'est qu'une des composantes d'un paysage réglementaire de plus en plus foisonnant.

Cyber-risque : la checklist

Si vous avez pris conscience du besoin de renforcer votre stratégie de cybersécurité, c'est maintenant qu'il faut agir ! Commencez par vous poser ces quelques questions :

  • Quel est le niveau actuel de cyber-risque pour mon entreprise et quel en est l'impact pour notre activité ? Comment comptons-nous gérer les risques identifiés ? 
  • Comment la direction est-elle informée des cyber-risques pour notre entreprise ? 
  • Comment notre programme de cybersécurité applique-t-il les standards et les bonnes pratiques ? 
  • Combien et quels types de cyber-incidents détectons-nous par semaine en moyenne ? Quel est le seuil à partir duquel les dirigeants doivent être alertés ? 
  • Notre plan de réponse à cyber-incident est-il complet et détaillé ? À quelle fréquence le plan est-il testé ?
  • Appliquons-nous une politique de mots de passe forts ? Est-elle en vigueur dans toute l'entreprise ? 
  • Où nos données résident-elles ? Sur serveurs, postes de travail, appareils mobiles, clés USB, systèmes de sauvegarde et environnements cloud ?
  • Comment traitons-nous les dossiers et documents de travail papier qui contiennent des données à caractère personnel ? 
  • Tous les supports de sauvegarde qui quittent les locaux sont-ils chiffrés ? Vérifie-t-on que les sauvegardes sont bien complètes et exploitables ?
  • Nos salariés ont-ils été formés aux bonnes pratiques de sécurité ? La pédagogie doit notamment porter sur les méthodes de cyberattaque comme le phishing et le pharming, mais aussi les ransomwares et les risques sur les réseaux sociaux. Nos salariés ont-ils été formés aux risques véhiculés par e-mail ?
  • En cas de compromission, un plan de réponse à incident est-il en place ? Avons-nous souscrit une cyberassurance pour nous couvrir ?

La solution Verizon

Répondre à ces questions n'est que la première étape du développement d'un protocole de cybersécurité en phase avec les attentes de votre entreprise. Pour vous accompagner dans cette démarche, l’outil Cyber Risk Monitoring réalise une analyse personnalisée du degré d'exposition au risque de votre entreprise et vous livre des recommandations pour y remédier. Nous allions la force des plus grands acteurs de la sécurité à notre propre référentiel de Threat Intelligence pour vous donner une visibilité approfondie sur le paysage des menaces qui vous entoure. 

Verizon a déjà permis à certains des plus grands noms de l'économie américaine de verrouiller leurs systèmes de cybersécurité. Dans le domaine de la défense aussi, Verizon a aidé l'armée américaine à renforcer son dispositif de protection face au cyber-risque.