Gérer les risques de cybersécurité

Selon un adage bien connu, il faut prendre des risques pour réussir.

Les risques que vous décidez de prendre ou non dépendent de votre compréhension des données dont vous disposez.

Par gestion de risque, nous entendons comparer les avantages potentiels par rapport à ce qui pourrait mal tourner et prendre des décisions de ce type.

L’approche est la même dans le cadre de la cybersécurité.

Une gestion efficace des risques en matière de cybersécurité implique d’appréhender les risques que rencontre votre entreprise.

En vous préparant de manière proactive à faire des choix difficiles, par exemple en déterminant les priorités d’investissement afin de minimiser les conséquences les plus néfastes, vous contribuerez à protéger votre entreprise des menaces.

Même les plus grandes entreprises et organisations qui disposent de budgets de sécurité importants doivent réfléchir attentivement à la manière dont elles mobilisent leurs ressources.

Les éléments de base d’une gestion efficace des cyberrisques sont les suivants :

• connaître son entreprise et ce qui est essentiel à ses activités ;
• comprendre quelles cybermenaces pourraient impacter son entreprise et comment elles sont le plus susceptibles de se produire ;
• préparer les contrôles et les mesures de sécurité qui vous aideront à limiter les risques le plus efficacement possible.

Prendre en compte la cybersécurité dès le départ

Dans la plupart des cas, l’ajout de mesures de sécurité à une technologie ou à un processus d’entreprise existant est une solution plus coûteuse et plus complexe à mettre en œuvre.

La prise en compte de la sécurité dès le départ peut vous aider à gérer les cyberrisques presque par défaut, avec des coûts moindres ou nuls. En d’autres termes, vous libérez des ressources précieuses pour les utiliser ailleurs.

Un bon exemple est le choix d’un nouveau service dématérialisé pour votre entreprise.

Si vous vous assurez que le cloud dispose d’une authentification à deux facteurs, vous pouvez l’activer dès le départ. Idéalement, vous l’intégrez directement à la plateforme de gestion des identités et des accès de votre entreprise. Vous aurez ainsi l’assurance que les données dématérialisées et la manière dont vos collaborateurs y accèdent bénéficient d’un bon niveau de protection dès le départ.

De même, s’agissant de la gestion de l’accès à des données ou à des systèmes critiques pour l’entreprise, il est beaucoup plus facile de l’accorder au début que de le retirer par la suite.

Appliquez le concept du « moindre privilège » lors du déploiement d’un nouveau service. De cette manière, vos collaborateurs n’ont accès qu’aux données et aux systèmes dont ils ont besoin pour s’acquitter de leurs tâches. De cette façon, vous instaurez une séparation qui rendra la vie beaucoup plus difficile aux éventuels pirates.

Lorsque vous déployez une nouvelle technologie ou un nouveau processus, prenez le temps de réfléchir à la manière la plus sûre de le faire. Concentrez-vous sur les domaines dans lesquels vous pouvez introduire la sécurité sans augmenter les coûts ou restreindre la convivialité.

Si vous devez dépenser plus ou ajouter une étape de sécurité supplémentaire, vous pouvez appliquer les principes de gestion des risques de cybersécurité pour décider si le jeu en vaut la chandelle.

Appréhender les risques de cybersécurité et leurs effets

Toute entreprise ou organisation dispose d’éléments qui lui permettent de se différencier de la concurrence. Il s’agit souvent de services ou de technologies d’entreprise, de données ou de processus clés, voire de biens matériels, tels que des espaces de bureaux ou des machines et/ou équipements spécialisés.

L’impossibilité de fournir des services ou de réceptionner des paiements peut, dans une large mesure, impacter les revenus de votre entreprise, voire menacer purement et simplement sa viabilité.

La plupart des entreprises ont une vision claire de ce qu’elles font et de la manière dont elles le font. Cependant, elles n’ont pas réfléchi à la manière dont leur fonctionnement pourrait être menacé ou perturbé.

Si vous comprenez les cyberrisques et savez comment les gérer, il convient de vous demander ce qui pourrait se produire à la suite d’une cyberattaque. Quelles seraient les répercussions en termes de finances, de notoriété et de praticité si l’un de vos actifs les plus importants était volé ou indisponible ? Et qu’en sera-t-il de votre réputation ?

Un exercice utile pour les entreprises de toutes dimensions consiste à réunir les personnes clés et à discuter des scénarios de cybersécurité pertinents et de leurs impacts potentiels, y compris les pires scénarios plausibles.

Vous obtiendrez ainsi de nombreux éclairages différents, vous réduirez le risque de négliger un élément essentiel. En vous concentrant sur ce qui est le plus important, vous renforcerez vos choix en matière de gestion des risques.

Savoir ce dont vous disposez

Dans le secteur de la cybersécurité, on dit généralement qu’« il faut savoir ce que l’on a avant de savoir ce que l’on doit protéger ».

Les entreprises ou organisations modernes ont beaucoup d’« actifs », qu’il s’agisse de données, de systèmes informatiques ou de services logiciels. Dans ce cadre, il peut être très difficile de cerner les éléments vraiment essentiels à la gestion de votre entreprise.

Le moyen le plus fiable d’y parvenir est de dresser un inventaire, parfois appelé registre des actifs. Vous pouvez y rassembler tous les types d’actifs en un seul endroit. Il existe des outils dédiés au registre des actifs, mais même une feuille de calcul est un bon moyen d’y parvenir. 

Vous pouvez utiliser un registre des actifs pour identifier les liens de dépendance entre différents éléments (par exemple, des données clients importantes dans une base de données spécifique, stockées sur un serveur particulier) ainsi que les éléments décisifs pour le fonctionnement de votre entreprise.

Il s’agit d’une « source unique de vérité » et d’un outil inestimable pour la gestion des risques. Il permet de déterminer où vous avez besoin des contrôles de sécurité les plus fiables. Parallèlement, il constitue aussi un point de référence important en cas de cyberincident.

Comprendre les menaces auxquelles votre entreprise est exposée

Dans notre billet de blog sur les cybermenaces nous nous penchons sur les cybermenaces les plus courantes pour la plupart des entreprises ou organisations. À l’aide de cet article et d’autres ressources, vous pouvez déterminer quelles sont les menaces spécifiques les plus pertinentes pour votre entreprise.

Pour la quasi-totalité des entreprises, la principale menace vient des cybercriminels qui utilisent des techniques courantes telles que le phishing, les logiciels malveillants et les vulnérabilités logicielles pour voler de l’argent, des données ou commettre des actes d’extorsion, voire les trois à la fois.

Ces dernières années, les attaques par rançongiciel sont devenues la cybermenace la plus répandue au niveau mondial. Les cyberattaques peuvent être très ciblées ou totalement aléatoires. Mieux vaut donc de se préparer à réagir à ces deux formes.

Le gouvernement belge propose un outil, Safeonweb, pour identifier plus rapidement et plus facilement le phishing afin de protéger votre entreprise contre les cyberattaques indésirables.

Les questions importantes à se poser sur les menaces auxquelles votre entreprise est exposée sont les suivantes :

• Qu’est-ce que mon entreprise fait ou possède qui pourrait être facilement monnayé par un cybercriminel ? En d’autres termes :
  • Votre entreprise détient-elle des données sensibles qui pourraient être vendues ?
  • Effectue-t-elle des transactions financières ou des paiements susceptibles d’être exploités ?
  • Propose-t-elle des services à d’autres entreprises ou organisations qui pourraient être perturbées ?
• Qu’est-ce qu’un cybercriminel pourrait déduire de l’extérieur à propos de votre entreprise ? Il peut s’agir de :
  • la manière dont vous faites la publicité de vos services ;
  • ce que vos collaborateurs disent sur LinkedIn ou d’autres applications de réseaux sociaux ;
  • votre secteur d’activité.
• Où votre entreprise est-elle manifestement la plus vulnérable ?
  • Avez-vous une grande empreinte en ligne ?
  • Vos systèmes d’entreprise sont-ils connectés à l’internet ?

Tous ces éléments sont susceptibles d’être découverts et exploités par des cybercriminels.

Une fois que vous avez déterminé quels sont les scénarios de menace les plus probables, vous pouvez vous en servir pour échafauder votre approche en matière de gestion des risques. Par ailleurs, vous pouvez ainsi communiquer de manière plus tangible avec les membres de votre entreprise. 

Par exemple, donnez à vos collaborateurs des exemples concrets tirés de la pratique :

• ACTIF : « Notre actif le plus précieux est notre base de données CRM. »

• PROBLEME : « Ces bases de données sont régulièrement la cible de cybergangs de rançongiciels qui recourent à des techniques de phishing pour s’y introduire, voler les données et rançonner les victimes. »

• CONSEQUENCES : « Si nous en étions victimes, nous pourrions rapidement perdre la confiance de nos clients et subir de graves conséquences juridiques et financières. »

Il s’agit là d’une manière beaucoup plus percutante de rallier les gens à votre cause que d’utiliser un discours générique sur la cybersécurité.

Quels sont les éléments qui nécessitent une protection supplémentaire ?

L’approche la plus efficace – et de loin ! – pour toute entreprise est la mise en place des mesures de contrôle générales en matière de cybersécurité telles que l’authentification à deux étapes, un antivirus ou un antimalware, des mises à jour logicielles régulières et une formation à la sécurité pour les collaborateurs.

Mais comment compléter ces mesures pour les éléments décisifs au bon fonctionnement de votre entreprise que vos discussions sur la gestion des risques ont permis d’identifier ?

Dans un premier temps, il faut vérifier s’il existe des possibilités d’améliorer la sécurité sans introduire un nouvel outil ou dépenser beaucoup plus d’argent. De nombreux services technologiques peuvent être configurés de manière à être moins permissifs, autrement dit il convient de renforcer les contrôles d’accès, ou à enregistrer toute activité inhabituelle et à déclencher des alarmes dans ce cas de figure.

En fonction de la technologie, il peut être facile de configurer ces services en interne. Cependant, il arrive parfois que vous deviez contacter le fournisseur pour obtenir une assistance.

Le contrôle de la sécurité peut être coûteux et chronophage. Il est toutefois beaucoup plus facile si vous vous concentrez sur un ou quelques systèmes seulement. Si vous avez une personne ou un staff responsable de l’informatique, ils sont probablement les mieux placés pour le faire.

Si vous pensez devoir acheter un outil de sécurité spécialisé, mais que vous ne disposez pas de l’expertise nécessaire au sein de votre entreprise pour vous conseiller sur le choix de cet outil ou sur la manière de le déployer, vous pouvez faire appel à une assistance externe pour vous aider.

Compte tenu du nombre des outils disponibles et du battage publicitaire autour d’eux, il convient de faire appel à un expert en cybersécurité objectif et chevronné pour vous guider. De cette manière, vous vous assurez que vous n’achetez que ce dont vous avez réellement besoin, que vous en tirez le meilleur parti et que vous êtes en mesure de le soutenir et de l’utiliser à long terme.

Tiers et sécurité de la supply chain

Les chaînes d’approvisionnement constituent un cyberrisque important pour la plupart des entreprises, en particulier lorsque des services décisifs ont été externalisés ou que des données sensibles ont été partagées.

Il est également de plus en plus fréquent que les cybercriminels utilisent les chaînes d’approvisionnement pour atteindre leur véritable cible.

Il n’existe pas de solution miracle pour la sécurité de la chaîne d’approvisionnement et il est très difficile de savoir si un fournisseur dispose ou non d’une sécurité suffisante.

Choisir les bons fournisseurs peut réellement accroître sensiblement votre sécurité. A fortiori si vous faites appel à de grandes entreprises qui ont investi massivement dans la cybersécurité et qui s’appuient sur des certifications sectorielles reconnues.

En résumé, il y a quatre choses essentielles à faire pour gérer les risques :

• Comprenez les risques spécifiques liés à la collaboration avec un fournisseur, en fonction de l’impact potentiel d’un incident sur les activités de votre entreprise. Cherchez à obtenir les normes les plus élevées de la part des fournisseurs qui sont, en fait, une extension de votre propre entreprise.
• Examinez attentivement vos engagements contractuels. Par exemple, le fournisseur est-il tenu de vous informer en cas d’incident ? Dans quel délai doit-il le faire ?
• Recherchez les certifications sectorielles telles que Cyber Essentials, ISO27001 ou SOC2, qui indiquent qu’un fournisseur prend la sécurité au sérieux et a subi une forme de validation indépendante de ses contrôles.
• Veillez à contribuer activement à l’intégration d’un nouveau fournisseur. Il peut s’agir de configurer le logiciel en utilisant le guide des meilleures pratiques du fournisseur, d’activer l’authentification à deux étapes et de gérer correctement l’accès de vos propres collaborateurs.

Considérations finales

En matière de cybersécurité, la gestion des risques consiste à:

• connaître son entreprise et ce qui est essentiel à l’exercice de ses activités ;
• comprendre quelles cybermenaces peuvent impacter l’entreprise et comment elles sont le plus susceptibles de se produire ;
• préparer des contrôles et des mesures de sécurité qui vous aideront à réduire les risques le plus efficacement possible. À cet effet, il convient de prendre en compte la sécurité à un stade précoce.

La mise en place d’un plan de gestion des risques vous permettra de gérer en toute confiance les risques de cybersécurité dans votre entreprise avant qu’ils ne surviennent.