Nous détaillons ici quelques premiers réflexes, sans aucune prétention d’exhaustivité, pour asseoir un cadre fiable d’une gestion proactive des menaces cyber.
Comment ériger les premières fondations d’un cadre efficace ?
Un cadre efficace s’appuie et s’intègre à un processus global de Gestion des Risques (ERM : Entreprise Risk Management) avec une définition claire des rôles et des responsabilités, de l’appétit à ce risque, son affectation efficiente selon des critères de tolérance lisibles ainsi que les limites opérationnelles pour le surveiller. La définition claire des déclencheurs pour mobiliser les dirigeants permet un niveau de responsabilisation adéquat des opérationnels et un fonctionnement efficace de la Direction.
L’appétit à ce risque est une décision qui relève des choix stratégiques en s’appuyant sur des mesures adéquates. A titre d’exemple, seule la Direction pourrait intégrer dans ses plans la tolérance de la perte d’un trimestre de résultats ou un mois de chiffre d’affaires suite à un évènement cybernétique. Néanmoins, il est préférable de confronter cette décision au terrain. Il se pourrait que la cartographie des menaces réelles démontre une tolérance insuffisante face au besoin.
A minima, cette cartographie ressence les menaces et les profils des risques liés aux flux d’informations avec les partenaires. Elle facilite l’installation des processus et ou procédures de notifications des incidents cybernétiques, en temps opportun. L’origine de ces incidents peuvent provenir d’en dehors des quatre murs de votre organisation mais aussi trouver ses sources en interne.
Une gestion efficace des incidents potentiels impose une préparation minutieuse incluant des protocoles d’intervention éprouvés (test à blanc – wargaming – cyberscouting) pour atténuer leurs impacts potentiels.
Peu importe votre taille ou votre préparation, nous constatons que même parmi les entreprises hautement sécurisées, cela prend parfois des semaines (voire des mois) pour découvrir une violation de l’IT ou une fuite des données. Dans la continuité de la Loi Informatique et Libertés, le nouveau RGPD a renforcé, depuis le 25 mai 2018, les pratiques des entreprises en matière de gestion des données personnelles. Ce besoin de protection des flux d’information devient donc une nécessité légale. Quelques heures investies en exercices de continuité des activités informatiques et de reprise après un incident généreraient des gains de temps substantiels en cas d’incident.
De notre point de vue, les principaux bénéfices de ces exercices sont :
- la diffusion de la culture de risque au sein de l’entreprise
- la mise à jour des plans et des procédures de gestion de crise et d’intervention
- l’identification des faiblesses éventuelles du socle d’intervention
- l’orchestration entre les équipes internes et les partenaires externes éventuels
Cette préparation adresse, entre autres, les questions suivantes : Comment réagir aux premiers instants ? Quelles sont les premières pistes à privilégier pour débloquer la situation ? Comment faire intervenir les spécialistes externes avec une coordinations optimale avec vos équipes ? de quoi ces derniers ont-ils besoin à leur intervention ? comment communiquer avec les clients, les employées et les régulateurs ? Et comment en tirer profit pour renforcer sa propre résilience à l’avenir ?
Avec quels moyens ?
Ce cadre prend toute son importance en le dotant de moyens budgétaires conformes aux besoins. C’est pourquoi, il est préférable d’instaurer un processus budgétaire régulier pour dérouler les vérifications requises avec les cadrages et les arbitrages ad ’hoc. Le soutien d’un cadre efficient, pour adresser les risques cyber, nécessite un financement et des ressources suffisantes.
Ces arbitrages budgétaires se doivent être cohérents avec les besoins exprimés par un comité d’experts (Métier / IT). Ce comité peut communiquer via un baromètre / indicateurs reflétant ses propres perceptions des menaces encourues par l’entreprise. Pour éviter des situations de demandes excessives, il est judicieux de le « responsabiliser » sur la communication de « business case » en ligne avec la stratégie et l’appétit au risque exprimé par la Direction.
Pour les TPE/PME, ces approches pourraient paraitre, à première vue, complexes et inadaptées. Néanmoins, ces approches demeurent adéquates pour renforcer sa résilience abstraction faite de la taille. Certes, certaines expertises peuvent manquer dans la structure et requiert un renforcement interne ou externe.
En fonction de la taille de la structure un besoin d’accompagnement externe serait économiquement efficient notamment sur les sujets suivants :
- Faire un diagnostic sur ses propres capacités à faire face à une cyber malveillance
- Renforcer les défenses autour des fragilités éventuelles
- Identifier les seuils de tolérance au-delà desquels l’avenir de la structure serait compromis
- Acquérir un programme d’assurance et d’assistance adéquat afin de mutualiser son risque et se faire accompagner par des experts en cas de crise
Chez CRI4DATA, nous avons constitué un centre d’excellence en cyber assurance indépendant qui regroupe la modélisation des risques cyber, la gestion des crises et une plateforme numérique pour gérer le cycle de vie d’un contrat. Enfin, nous mettons à votre disposition une plateforme pour assurer une gestion proactive du risque avec des bonnes pratiques, de la veille, et des interventions coordonnées avec notre réseau de partenaires spécialistes en cas d’incidents.
