Si le sujet de la cybersécurité est aujourd’hui identifié comme un élément-clé de la stratégie des organisations, un investissement plus prononcé de la direction est nécessaire pour réellement soutenir les équipes en charge de la sécurité. Principale piste, renforcer la place du RSSI dans l’organisation. Et après ?
Ransomware, malware, phishing, Chevaux de Troie bancaire… les cybermenaces ne cessent d’augmenter et d’évoluer, ne laissant aucun individu ni aucune organisation à l’abri de se retrouver dans le viseur de cybercriminels. En tête de file, ce sont les attaques de type BEC (Business Email Compromise) visant les messageries professionnelles qui représentent actuellement la menace la plus virulente et également la plus coûteuse parmi toutes les activités cybercriminelles. Selon Gartner, le nombre d’attaques BEC va ainsi continuer à doubler chaque année d’ici 2023, entraînant plus de 5 milliards de dollars de pertes pour les entreprises.
Face à ce changement, les fameux COMEX ou Comités Exécutifs sont de plus en plus sollicités pour s’investir sur les sujets de cybersécurité. Avec une dépendance grandissante aux outils numériques, les dispositifs actuels ne sont plus suffisants. Mais quels moyens sont concrètement mis en œuvre pour régler ce problème ? Les Responsables de la Sécurité des Systèmes d’Information (RSSI), pleinement conscients des enjeux, ont vu leur feuille de route prendre de l’ampleur ces dernières années. Parfois mal écoutés, ils détiennent pourtant les clefs pour mener à bien une sécurité efficace et leur pari aujourd’hui est non seulement de répondre à de nouvelles attentes métier mais également de convaincre le top management de dégager des investissements à cet effet.
Le RSSI, pivot stratégique de la cybersécurité
Si les problématiques inhérentes à la cybersécurité restent souvent un peu floues ou complexes pour bon nombre de COMEX, le sujet est aujourd’hui bien au cœur des priorités et discussions stratégiques des entreprises.
Dans ce contexte, le RSSI a vu sa fonction évoluer et s’intensifier ces dernières années. Il joue un rôle désormais essentiel, allant parfois jusqu’à être promu au poste de Directeur de la cybersécurité, nouveau poste pivot lui offrant un accès privilégié au COMEX. Cette position lui permet de participer pleinement à la stratégie d’entreprise, poussée notamment par de nouvelles réglementations et la nécessité de gérer l’impact financier ou encore l’image de marque de l’entreprise.
Si cette tendance semble porter le sujet dans le bon sens, le RSSI a pourtant encore parfois du mal à se faire entendre, et surtout comprendre. Afin d’éviter que sa participation ne se résume qu’à du présentiel lors de réunions, il doit incarner un rôle de conseiller et établir des priorités, un plan stratégique sur le long terme tout en favorisant l’accès à différentes métriques pour évaluer l’impact de l’investissement financier.
C’est en offrant une vision transverse, qui s’adresse à tous les départements de l’entreprise, qu’il pourra définir les prochaines étapes à mettre en place et instaurer une relation de confiance avec le COMEX ; lui permettant au passage de prendre pleinement conscience des enjeux et priorités pour se protéger contre les cybermenaces.
Aller sur le terrain et se confronter aux menaces
Pour soutenir la transformation numérique des entreprises, la cybersécurité requiert une implication à tous les niveaux. Afin de définir le seuil de fondation sur laquelle s’appuiera l’entreprise et convaincre le COMEX d’investir dans la cybersécurité, le RSSI doit attirer leur attention sur l’état actuel des cybermenaces dont l’entreprise est réellement la cible.
L’enjeu pour le RSSI est d’évaluer le niveau de résistance et de maturité de l’entreprise face aux menaces afin de définir une feuille de route avec budget et métriques qui permettra d’adopter une stratégie de cybersécurité solide.
De plus en plus d’outils se développent et sont mis à disposition pour créer cette nouvelle impulsion. Des solutions qui permettent d’instaurer une sensibilité aux règles d’hygiène numérique de base et à la sécurité numérique elle-même.
Acquérir une visibilité en temps réel sur les menaces en cours ou identifier les utilisateurs les plus à risque font partie des évolutions les plus récentes en matière de cybersécurité. Il est tout aussi crucial d’organiser des exercices de crise comme des simulations d’attaques de phishing par exemple. Toute entreprise reste vulnérable et doit s’entraîner à réagir à de potentielles menaces.
L’évolution des réglementations joue également un rôle essentiel dans la protection des entreprises. Les armes les plus affûtées ne sont pas forcément ni les plus chères ni les plus complexes. Dans ce sens, l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, donne régulièrement des recommandations avisées pour aider les entreprises à mettre toutes les chances de leur côté pour se protéger efficacement. Elle a publié un guide à ce sujet agrémenté de recommandations et de bonnes pratiques, pour accompagner les entreprises dans leur démarche. Dans ses guides de sécurité les plus récents également, elle recommande notamment la mise en place de standards comme DMARC pour combattre le fléau de la fraude par email, le principal vecteur d’attaque aujourd’hui.
Intégrer une cybersécurité centrée sur l’humain
S'il est essentiel de comprendre qui nous attaque, il l'est tout autant, sinon plus, de comprendre qui sont les personnes ciblées. Dans l’élaboration des attaques actuelles, les cybercriminels se concentrent désormais sur les individus plus que sur les infrastructures. Les méthodes diffèrent - phishing, spoofing, malware - mais le résultat est bien souvent le même : des pertes de données et financières importantes.
Connaître les utilisateurs qui ont des accès privilégiés, ceux qui sont le plus susceptibles d’être attaqués et ceux qui sont les plus est donc primordial pour assurer la dernière ligne de défense. En tant que « VIP », les cadres supérieurs sont naturellement des cibles de choix : leur statut, leurs droits d'accès et leur connaissance de l’entreprise attirent les cybercriminels. Cependant, ces « VIP » ne sont pas les seules cibles identifiées au sein des entreprises. Les « VAP » (Very Attacked People) ciblés par les cybercriminels incluent de nombreux membres du personnel à des niveaux parfois plus bas dans la hiérarchie.
Loin d’être le maillon faible, l’humain doit désormais être considéré comme le maillon fort de la protection des organisations. En identifiant, puis formant les personnes à risque, il sera plus facile de traiter les menaces avec précision et de contrôler en continu le niveau de compétence des personnes en première ligne.
Pendant des années les entreprises se sont tournées vers des solutions de protection de leur infrastructure mais la donne a changé. La formation et la sensibilisation sont devenues essentielles, et ce, à tous les niveaux de l’entreprise. La cybersécurité est l’affaire de tous et doit être au premier plan des préoccupations de chacun, y compris le COMEX.