C’est pourtant un point saillant de l’approche holistique de l’univers des risques.
La sécurité informatique a définitivement franchi les frontières IT. Elle est aujourd’hui n°1 dans le top 3 des préoccupations des dirigeants d’entreprise. La situation mondiale affiche un taux effarant de cybercriminalité (+800 % aux USA selon le FBI*, x4 en France selon l’ANSSI**) conduisant certaines entreprises à la faillite (notamment des PME) et représentant 1 % du PIB mondial en 2020 selon McAfee.
Exacerbée par le télétravail, l’utilisation d’objets connectés, le téléchargement non autorisé à partir d’appareils non ou mal sécurisés, la cybercriminalité s’industrialise jusqu’à adopter des méthodes d’une grande sophistication. Les pirates informatiques comptent principalement sur le risque d’image et de réputation pour s’enrichir. Business juteux, entre « big game hunting », « RasS » (Ransomware as a service) et « double extorsion », ils n’hésitent d’ailleurs pas à se retourner directement contre les clients des organismes infiltrés pour exiger des rançons de moindre montant mais plus nombreuses en cas de refus de paiement de l’entreprise initiale.
Le montant d’une rançon et le prix d’une réputation ne sont malheureusement pas, pour l’entreprise, les seuls aspects du coût d’une attaque informatique. Celui-ci intègre en outre les pertes parfois gigantesques de productivité et les coûts de récupération des données, ou de reconstruction du SI. Selon l’étude réalisée en 2020 par Ponemon Institute et IBM En moyenne, les entreprises ont mis 207 jours pour identifier et 73 jours pour contenir une brèche en 2019, soit un « cycle de vie » moyen de 280 jours. Il y a aussi le montant de la pénalité qui peut être exigée par les régulateurs si l’entreprise ne peut prouver avoir mis en place tous les moyens nécessaires pour se protéger de cyberattaques.
C’est un coût que l’on estime en moyenne à 3,8 millions de dollars, amende comprise. Mais qui peut aller bien au-delà : 57M de dollars pour Google, 20M de livres pour British Airways et 18,6M d’euros pour Telecom Italia, rien qu’au titre de la RGPD ! En bref, le manque de vigilance peut coûter d’autant plus cher qu’il est mis en exergue à l’occasion d’une attaque informatique.
C’est dire si aujourd’hui les CIO sont pris en étau entre la montée de la cybercriminalité et la multiplication des réglementations, de plus en plus complexes à respecter, nationales comme internationales. Sans compter l’ensemble des standards industriels et les cadres réglementaires spécifiques selon les secteurs d’activité, les zones géographiques occupées et la sensibilité voire la criticité des données traitées.
Le vrai challenge aujourd’hui repose donc sur la maîtrise des réglementations applicables. Or, il existe plusieurs milliers de régulateurs, qui n’utilisent généralement ni les mêmes syntaxes, ni les mêmes protocoles et n’abordent la sécurité que par leur prisme.
Le manque d’organisation dans l’application des cadres réglementaires exigibles, des tests et contrôles de leur respect, engendre un surcroît d’efforts qui se fait au détriment de l’activité initiale des sociétés.
La conformité demande de disposer d’une vue complète et fiable des actifs de l’entreprise. C’est à partir d’une cartographie complète que les équipes pourront ensuite s’appuyer sur des solutions d’agrégations de données de contenus réglementaires. Ces solutions ont pour intérêt principal de mutualiser les efforts de conformité pour plusieurs normes simultanément et d’apporter la preuve de la réalité de cette conformité.
Mais pour réussir pleinement et de façon continue ce travail de « compliance », la mutualisation ne suffit pas. Il devient indispensable de penser son architecture informatique sous l’angle de la sécurité « by design », avec pour objectif de réduire le recours « patch management ».
Le processus sous-entend de faire travailler ensemble des départements jusque-là cloisonnés : responsables sécurité, architectes d’entreprise, administrateurs, etc. C’est une symbiose qu’il faut rechercher pour aboutir à une architecture capable de répondre aux besoins business avec une approche par les risques. La mise en place d’une architecture de sécurité est cruciale pour l’entreprise. Au-delà des outils de sécurité classiques comme les pare-feux, les antivirus ou les logiciels VPN, l’architecture de sécurité recouvre le système global nécessaire à la protection de l’infrastructure informatique et permet plus largement de définir la manière dont chaque parti-prenante doit exécuter les processus de sécurité.
L’ensemble de cette démarche de mutualisation est loin de ne concerner que les grandes entreprises. Au contraire, même. La grande majorité des attaques informatiques a pour origine une faille chez un partenaire. Prestataires et sous-traitants, petites structures de consulting et fournisseurs sont les cibles privilégiées des cyber-assaillants. Le tiers fournit un accès inépuisable vers les grandes entreprises.
Il n’est pas impossible, d’ailleurs, que demain la mise en concurrence soit conditionnée par des attestations de respect de nouvelles normes de sécurité. C’est déjà le cas avec la législation européenne DORA, qui s’impose aux sous-traitants des établissements bancaires à travers des audits, des questionnaires et un scoring de sécurité selon la criticité de leurs interventions.
La sécurité informatique est véritablement devenue l’affaire de tous : de l’équipe dirigeante au collaborateur le plus récent, quelle que soit la taille de la structure et quel que soit son secteur public comme privé. Surtout parce qu’on sait que les incidents d’origine cyber sont à 95% causés par des erreurs humaines. Il appartient autant au comité de direction qu’aux CIOs de montrer l’exemple. D’une part avec un sponsoring fort pour accompagner la mise en œuvre d’une architecture de sécurité digne de ce nom. D’autre part, en assumant les enjeux de sécurité au quotidien dans leur travail, sans passe-droit, avec éthique et intégrité.