Pourquoi les responsables de la sécurité peinent à sensibiliser leurs dirigeants aux menaces cyber d’un point de vue de risques d’entreprise ? Comment adopter le bon langage du risque pour déployer une véritable stratégie d’intelligence qui répondent aux exigences de l’entreprise ? Levi Gundert, Chief Security Officer, Recorded Future, nous livre son analyse.
Quel sera l’impact sur l’entreprise ? C’est une question que de nombreux RSSI entendent souvent, à l’issue d’une présentation au conseil d’administration. Pour le plus grand nombre, il est cependant frustrant de ne pouvoir y répondre d’une manière vraiment compréhensible par les dirigeants, car l’analyse des menaces est souvent technique plutôt que centrée sur l’entreprise. Et même si l’on dispose du meilleur renseignement au monde, celui-ci ne permettra pas d’améliorer les décisions de l’entreprise si les responsables de la sécurité ne peuvent en exposer la substance dans le contexte de risques de haut niveau. Les RSSI ont aujourd’hui les moyens de sortir du discours technique et de parler le langage du risque d’entreprise. En effet, toute l’intelligence stratégique mène à une ou plusieurs des cinq catégories de risques spécifiques, qui peuvent être utilisées pour encadrer les discussions à haut niveau.
Selon une récente étude de PWC, seulement 30% des RSSI déclarent recevoir un appui suffisant de leur dirigeant. Cependant, la responsabilité est partagée : les RSSI doivent apprendre à capter l’attention de leurs dirigeants pressés avec des informations pertinentes. Les deux mondes tendent néanmoins à converger. Selon le World Economic Forum (WEF), 91 % des dirigeants d’entreprise et des responsables cyber estiment aujourd’hui qu’une menace cyber de grande envergure pesant sur les entreprises internationales est assez probable au cours des deux prochaines années. Le même rapport révèle que plus de la moitié (56 %) des responsables de la sécurité rencontrent désormais leur conseil d’administration tous les mois ou plus fréquemment. Mais le WEF affirme qu’il reste encore beaucoup à faire dans ce domaine pour que les dirigeants d’entreprise apportent leur soutien à une « action efficace ».
A lire aussi : L’empreinte numérique des dirigeants, talon d’Achille méconnu des entreprises
Cinq catégories de risques
Au fil des ans, de nombreux entretiens avec des dirigeants d’entreprise mettent en évidence que chaque conversation portant sur la stratégie d’intelligence sur les menaces débouche sur un ou plusieurs risques classés en cinq catégories : fraude financière, dépréciation de marque, interruption d’activité, désavantage concurrentiel, manquement juridique ou non-conformité.
La fraude financière constitue une voie assez directe vers une perte d’exploitation, risque qui n’est pas nécessairement identifié et corrigé par des contrôles comptables renforcés. Aujourd’hui, les acteurs malveillants s’appuient sur des comptes de messagerie détournés et même sur des voix clonées pour dérober aux entreprises des millions à leur insu. Ils se font passer tantôt pour un PDG qui exige un virement important, tantôt pour un fournisseur qui réclame d’être payé.
La dépréciation de marque, ou le risque de réputation, ne se traduit pas immédiatement par une perte de clients ou de revenus. Mais les violations d’informations personnelles identifiables (IPI) des clients peuvent progressivement frapper durement les entreprises sensibles à leur réputation, dans les secteurs tels le commerce de détail ou les services financiers. La publicité négative diffusée au compte-gouttes sur les réseaux sociaux risque petit à petit d’entraîner une perte importante de clients.
En revanche, les interruptions de service constituent un risque plus immédiat que la plupart des conseils d’administration devraient désormais avoir à l’esprit en raison de la prolifération d’attaques par ransomware. Les paiements aux cybercriminels ont tendance à baisser, mais les niveaux de menace restent élevés, en particulier dans les secteurs critiques tels que le transport, la fabrication, la santé et la logistique.
Les risques concurrentiels découlent souvent d’un vol de données à grande échelle, bien que dans ce cas il s’agisse généralement de propriété intellectuelle et de secrets industriels plutôt que d’informations sur les clients ou les employés. La sensibilité d’une entreprise à ce risque est considérée comme particulièrement critique pour le secteur de la défense ou l’industrie pharmaceutique par exemple.
Enfin, le non-respect de conformité est un risque, passible de sanctions pénales dans certains pays, qui s’est intensifié depuis la création du RGPD en 2018 et du droit de la propriété intellectuelle dans le monde entier. Comprendre les exigences de déclaration et le détail des définitions, des seuils et des délais peut s’avérer extrêmement difficile, en particulier pour ceux qui opèrent à l’international.
Le renseignement n’en est qu’à ses débuts. Alors qu’une stratégie d’intelligence peut faire une énorme différence dans la prise de décision des entreprises, le renseignement coûte aussi parfois des millions de dollars pour produire des rapports que personne ne lit. Transformer le renseignement en calcul de risques pour l’entreprise n’est pas facile. Dans les cinq catégories susmentionnées, une deuxième réflexion sera souvent nécessaire pour que les conseils d’administration se demandent : « et donc ? », d’autant plus que les tactiques des acteurs de la menace ne cessent d’évoluer. Mais il est essentiel d’élaborer des exposés de risques convaincants qui répondent aux exigences des dirigeants et pèsent dans la balance pour se démarquer de la concurrence.