Andrew Shikiar, Directeur exécutif et CMO de l’Alliance FIDO revient sur la gouvernance à l’ère numérique, et soulève des questions cruciales concernant la responsabilité des conseils d’administration en matière de cybersécurité. Il y explore les défis auxquels sont confrontés les conseils d’administration dans la protection des données sensibles et la prévention des cyberattaques, mettant en évidence l’importance d’une gestion proactive des risques numériques pour assurer la pérennité des organisations.
Nouveau jour, nouvelle cyberattaque. Ou du moins, c’est l’impression que nous avons ces derniers temps.
Il est estimé que 64 % des entreprises dans le monde ont subi au moins une cyberattaque au cours de l’année écoulée. Les attaques et les violations sont aujourd’hui monnaie courante, à tel point que les organisations en sont arrivées à une certaine lassitude : elles sont de plus en plus attendues et acceptées comme faisant partie intégrante des activités de l’entreprise.
Malheureusement, la sensibilisation croissante aux risques cyber n’est pas synonyme d’une meilleure préparation. Dans une enquête menée auprès de dirigeants d’entreprises, 65 % d’entre eux affirment qu’en dépit de leurs investissements, leur organisation risque toujours de subir une attaque matérielle au cours des 12 prochains mois, et près de la moitié estiment qu’ils ne seraient pas en mesure de faire face à une attaque ciblée.
Il existe manifestement un véritable manque de responsabilité et d’engagement au plus haut niveau qui empêche tout changement significatif et une réelle cyber-résilience. Il ne suffit pas d’affirmer haut et fort que la cybersécurité est une priorité, il faut agir, et mettre en œuvre les meilleures pratiques.
A lire aussi : Gouvernance de la cybersécurité : quelles questions doivent se poser les dirigeants ?
Les attaques se multiplient, mais les responsabilités ne sont pas encore engagées
L’année dernière a été marquée par une série d’attaques très médiatisées visant de grandes enseignes et des fournisseurs de services Cloud – d’Uber à LastPass, en passant par Twilio ou encore Reddit. Il est important de souligner que ces attaques utilisent une combinaison d’ingénierie sociale et d’autres techniques de piratage pour contourner les systèmes d’authentification multi-facteurs (MFA).
En clair, les attaques qui contournent le MFA d’une entreprise ne sont pas nouvelles, et même si les systèmes de MFA restent beaucoup plus résistants que les dispositifs d’authentification à facteur unique, ce qui est nouveau en revanche est le volume et le degré de sophistication croissants de ces attaques. Pour les entreprises, les risques financiers et de réputation n’ont jamais été aussi élevés.
Éviter l’inévitable est possible
Pourtant, ce nombre élevé d’attaques peut être anticipé, alors pourquoi en est-il autrement ?
Les RSSI sont conscients des défis à relever, mais sont souvent dépassés et manquent de ressources, de financement et/ou de soutien pour mettre en œuvre correctement le changement. Ou encore, et ceci est particulièrement marqué dans les organisations de plus petite taille, les équipes informatiques travaillent en vase clos, sans aucun soutien de la part de la direction, ce qui signifie que les stratégies tombent à plat.
Une récente enquête menée auprès de comités de direction a révélé que moins de la moitié d’entre eux interagissent régulièrement avec les RSSI et que près d’un tiers d’entre eux ne voient leurs responsables qu’à l’occasion de présentations au conseil d’administration. Les dirigeants et les responsables informatique sont loin de se côtoyer suffisamment pour avoir une bonne réflexion sur les stratégies liées à la sécurité, et cela se traduit par une mauvaise appréhension du sujet. Mais alors comment avancer ?
La cybersécurité connaît actuellement une situation similaire à celle des initiatives environnementales, sociales et de gouvernance (ESG) il y a dix ans. Tout comme l’ESG devait être prise au sérieux et mesurée en tant que priorité commerciale, la cybersécurité doit être traitée de la même manière. Le terme « purpose washing » a été inventé en référence aux organisations qui se sont engagées verbalement à être respectueuses de l’ESG sans prendre de mesures substantielles. Agir – ou prétendre agir – par crainte d’une atteinte à la réputation ou pour renforcer la crédibilité est contre-intuitif. Il est essentiel de donner la priorité à la cybersécurité, car les attaques peuvent causer d’importants préjudices financiers et de réputation, extrêmement difficiles à redresser.
Les conseils d’administration doivent se montrer plus responsables et mettre en œuvre des solutions proactives pour limiter le contournement de l’authentification multifactorielle et les attaques par phishing. Avec le temps, la cybersécurité pourrait devenir impérative, à l’instar de l’introduction de normes de reporting en matière de développement durable et d’équité sur les lieux de travail. Il devient indispensable de considérer la cybersécurité comme un enjeu organisationnel et stratégique, plutôt que comme un simple sujet technique. La cybersécurité doit faire partie intégrante de la culture de l’entreprise, être discutée lors de réunions non techniques et être activement défendue par les membres du conseil d’administration. Elle doit être perçue comme une fonction stratégique au même titre que les ventes, les ressources humaines et le marketing.
Cette attention portée à la cybersécurité est particulièrement pertinente pour les fournisseurs de services cloud, qui se voient confier des données numériques précieuses provenant de diverses organisations. Le nombre croissant d’attaques visant le cloud souligne la nécessité pour ces entreprises de prouver la robustesse de leurs systèmes internes. L’obligation contractuelle de mettre en œuvre les meilleures pratiques en matière de cybersécurité, est en passe de devenir de plus en plus habituelle pour les clients qui choisissent des fournisseurs de services cloud.
En somme, la cybersécurité ne peut plus être reléguée au second plan. Avec le temps, nous espérons que la crainte autour de la cybersécurité s’estompera dans les conseils d’administration. Les questions qui y sont relatives ne devraient plus être perçues comme effrayantes, ou évitées. Il devient nécessaire de travailler en étroite collaboration avec les chefs d’entreprise pour veiller à ce que les sujets cyber fassent l’objet d’un débat et d’une priorité appropriés.