Alors que les cybercrimes devraient coûter à l’économie mondiale 10,5 billions de dollars d’ici 2025, 50 % des cadres supérieurs britanniques en 2022-2023 se sont concentrés sur la récupération après les attaques, plutôt que sur la manière de les prévenir. Cela met en évidence la nécessité d’établir et de maintenir stratégiquement la résilience des brèches pour éviter que les prévisions de 2025 ne deviennent réalité.
Quel que soit le secteur d’activité, l’approche d’une organisation en matière de résilience aux brèches doit être de nature stratégique, associée à la proactivité, à la transparence et à une défense à plusieurs niveaux. Si elle est correctement mise en œuvre, la résilience aux brèches renforce la confiance dans la protection d’une organisation contre un paysage de menaces en constante évolution. La promotion d’un état d’esprit culturel qui reconnaît le caractère inévitable des violations et donne la priorité à des mécanismes efficaces de préparation, de détection et de réaction renforce également la maturité de l’organisation.
Contrairement à l’attrait tapageur de termes comme « cybersécurité », la résilience aux brèches est centrée sur un cadre qui renforce l’importance de la connaissance de soi et des capacités de sécurité ciblées basées sur les risques. La mise en place de ce cadre implique plusieurs étapes qui doivent s’aligner sur les objectifs stratégiques, l’appétit pour le risque et les exigences réglementaires :
- Alignement sur les objectifs de l’entreprise : Pour garantir une défense efficace, la résilience aux brèches doit s’aligner sur la stratégie globale de l’entreprise. Il est essentiel que les professionnels de la sécurité et de la protection de la vie privée comprennent les objectifs de l’entreprise, afin d’adapter les capacités de défense et de récupération de manière proportionnée et complémentaire.
- Comprendre l’écosystème : Il est impératif de bien comprendre l’organisation. Pour ce faire, il faut se renseigner sur le secteur d’activité et les lieux où il opère, sur les parties prenantes en jeu et sur les exigences réglementaires pertinentes.
- Paysage des menaces : L’étape suivante consiste à déterminer ce qui doit être protégé, si l’entreprise présente un risque systémique pour le secteur ou le pays concerné, et les menaces les plus pertinentes pour l’organisation. L’apprentissage de ces éléments constitue la base d’une défense proactive. Des ressources en ligne comme MITRE ATT&CK® (pour suivre les groupes de cybermenaces) et le Paysage des menaces de l’ENISA 2022 aident à analyser le paysage.
- Cartographie des actifs : Un actif est tout ce qui apporte de la valeur à une entreprise, comme son personnel, ses processus, ses technologies et ses installations. Une fois que l’organisation est bien informée, l’étape suivante consiste à effectuer une analyse croisée afin de déterminer clairement quelles menaces vont avoir un impact sur quelle partie de l’entreprise.
- Contrôles de sécurité : Ensuite, il faut évaluer l’état actuel des contrôles de sécurité existants et des capacités d’atténuation pour défendre chaque actif contre les menaces et les acteurs concernés. Il existe plusieurs façons d’aborder cette question, par exemple en utilisant des cadres d’atténuation des menaces établis, notamment l’Institut national des normes et de la technologie (NIST) - Publication spéciale 800-53 Révision 5, pour évaluer les contrôles. L’utilisation du cadre de cybersécurité du NIST peut permettre à une entreprise d’acquérir une compréhension globale de la maturité de sa cyberposture et de sa capacité à identifier, protéger, détecter, répondre et se remettre des menaces.
- Détermination de l’état futur : Une fois que l’état actuel est compris, il faut collaborer avec les dirigeants et les parties prenantes pour discuter, déterminer et convenir d’une posture de sécurité future souhaitée. L’objectif peut être modifié lors de l’examen annuel de la situation, de sorte qu’une ambition pragmatique permet de guider l’orientation des ressources.
- Feuille de route stratégique : Après avoir utilisé les résultats des évaluations, une organisation peut établir des priorités et désigner un responsable pour atteindre le résultat stratégique. La feuille de route doit décrire les actions, les investissements et l’affectation des ressources pour atteindre les objectifs de l’entreprise.
- Transparence et communication : Il est désormais essentiel de s’assurer que les dirigeants, les parties prenantes et les investisseurs comprennent où l’organisation veut aller et comment. Cela peut se faire en présentant l’état actuel de la maturité aux principales parties prenantes, en soulignant l’efficacité de la défense de l’organisation contre des menaces spécifiques et en créant une vue d’ensemble transparente de la posture de sécurité.
- Détermination du budget : C’est le moment le plus amusant, mais aussi le plus critique, où tout peut basculer. L’organisation dispose désormais des connaissances nécessaires, mais a-t-elle les moyens financiers ou la volonté d’atteindre le résultat souhaité? Les parties prenantes doivent tenir compte des découvertes faites au cours des étapes précédentes, en veillant à ce que ces découvertes et le budget évoluent en fonction des objectifs souhaités par l’organisation et de l’évolution du paysage des menaces. Un budget insuffisant peut conduire à une protection inadéquate et à une dégradation de la posture de cybersécurité.
- Affectation des ressources : Enfin, il s’agit d’affecter tactiquement les ressources décrites dans la feuille de route stratégique. Déterminer où investir le budget pour atteindre le niveau de résilience souhaité dans un délai prédéfini. Le tout doit être revu périodiquement en fonction du budget et de l’évolution du paysage numérique et physique.
En suivant un cadre stratégique qui aligne la technologie, la culture et les objectifs, les organisations peuvent gérer avec succès les défis du monde numérique et rester résistantes face aux failles de sécurité et aux cybermenaces.
Découvrez l’impact des nouvelles technologies sur la cybersécurité dans « L’impact de l’IA et de l’AA sur la cybersécurité » par Alessandro Magnosi. Découvrez comment intégrer la protection de la vie privée dans votre organisation dans « Technologies émergentes : Première partie : intégrer la protection de la vie privée dès la conception » par Conor Hogan. Pour en savoir plus sur d’autres sujets liés à la confiance numérique, à la confidentialité, à la sécurité de l’information et à l’environnement, la santé et la sécurité qui devraient être en tête de liste de votre organisation, visitez le Coin des experts de BSI.
