Arnaud TanguyAXA Group Chief Security Officer
7 novembre 2021
En raison de la vulnérabilité des logiciels, des menaces internes et du non-respect de certains employés à l’égard des consignes de sécurité, les entreprises sont amenées à faire face à des cyber-risques liés à leurs équipes autant qu’à des menaces extérieures.
5 minutes
Cet article fait partie du rapport du Fonds AXA pour la Recherche, Construire la cyber-résilience : menaces, catalyseurs et anticipation
.
La cyber-résilience nécessite bien sûr une capacité d’anticipation, mais également une approche rigoureuse et systématique permettant d’être prêt à affronter l’inconnu. Être résilient, ce n’est pas seulement éviter les incidents, c’est aussi être suffisamment préparé pour se remettre du pire des scénarios envisageables. La cyber-résilience représente un véritable défi, mais le contexte est indéniablement en train d’évoluer.
Une violation de données se produit lorsque des individus parviennent à accéder à des données qu’ils pourront ensuite divulguer, vendre ou utiliser à des fins d’usurpation d’identité. Les premières victimes sont donc les individus auxquels appartiennent ces données, les employés ou les clients, par exemple. Le second risque concerne l’entreprise elle-même, parfois incapable de se conformer aux réglementations qui obligent désormais à faire connaître les personnes dont les données ont été compromises. Un autre problème est celui de la réputation: lorsqu’une entreprise est victime d’une cyber-attaque et que son nom appraît dans les médias, la confiance que lui accordent ses clients est généralement mise à mal, ce qui risque de la faire passer à côté de nombreuses opportunités. Il existe également un risque juridique, lié au fait que très peu de contrats comportent les clauses de sécurité mentionnant les mesures qui doivent être prises par le client, ce qui est à l’origine de nombreuses failles juridiques. Enfin, les impacts financiers d’une cyber-attaque sont loin d’être négligeables: remédier rapidement aux fragilités face à ce type d’attaques, communiquer avec les médias et avec les clients (qui sont parfois des millions), dédommager les victimes et parfois même s’aquitter d’une amende, tout cela peut générer des frais considérables.
Avec des menaces de plus en plus complexes et conçues par de véritables professionnels, la question de la cyber-sécurité doit être abordée de façon à la fois holistique et stratégique. D’abord au niveau des effectifs, dont la sensibilisation et la préparation peuvent être améliorées grâce à des communications internes, des formations obligatoires ou même des exercices de faux hameçonnage. Nous formons nos collaborateurs à devenir des cyber-citoyens, en les incitant à aborder ce sujet avec leur famille et leurs amis; nous espérons participer ainsi à la formation de la société au sens large, par l’intermédiaire de nos propres équipes.
Si les conseils d’administration sont désormais correctement sensibilisés à ces questions, trouver le bon équilibre entre les priorités professionnelles et les enjeux sécuritaires reste encore souvent délicat.
C’est dès la conception d’un projet, quel qu’il soit, que les équipes chargées de la sécurité doivent définir le niveau de vigilance approprié, selon un principe que nous avons nommé security by design
. En outre, toutes les tierces parties en lien avec une entreprise donnée peuvent faire l’objet d’une cyber-attaque, ce qui exige de faire figurer des clauses de sécurité dans les contrats des fournisseurs. L’aspect technique consiste à mettre en oeuvre des mesures, des normes et des procédures techniques permettant d’identifier de façon anticipée les logiciels malveillants traditionnels
ou plus modernes, notamment grâce aux innovations telles que l’intelligence artificielle, et de surveiller en permanence toutes nos activités pour s’assurer de l’efficacité des mesures de sécurité mises en place. Enfin, nous concevons des stratégies dont l’objectif est de réagir et de se remettre sur pied le plus rapidement possible lors de la survenue d’une cyber-attaque.
Ces principes s’appliquent partout de la même manière. Qu’il y ait ou non une équipe interne spécifiquement chargée de la cyber-sécurité au sein d’une entreprise, une personne doit systématiquement assumer la responsabilité pleine et entière de cette question.
Les régulateurs sont concernés par les questions de cyber-sécurité, surtout depuis la mise en place du Règlement Général sur la Protection des Données (RGPD) par le Parlement européen. Presque partout, on est passé de l’incitation à l’obligation, concernant notamment la divulgation des incidents ou des violations de données.
Les entreprises ont tout à gagner à s’engager le plus tôt possible dans un dialogue avec les régulateurs, car la transparence et la confiance permettent de résoudre plus rapidement les problèmes. Bien entendu, cela représente un défi pour les multinationales: chez AXA, par exemple, qui travaille avec 64 pays à travers le monde, nous nous engageons auprès de 64 régulateurs qui ont chacun leur manière de travailler.
Pour une entreprise privée dont l’activité principale n’est pas liée à la cybernétique, par exemple dans le secteur de la chaîne d’approvisionnement, il est essentiel de collaborer avec des fournisseurs de services de cyber-sécurité. On assiste en effet à une véritable course aux armements, avec des attaques dont la vitesse et la portée augmentent considérablement; mais nous n’avons pas, en tant que société, formé suffisamment de personnel dans le domaine de la cyber-sécurité, un secteur où le marché de la main-d’oeuvre est en outre très concurrentiel. Les entreprises spécialisées dans la cyber-sécurité doivent centraliser les compétences dans ce domaine pour améliorer les outils de cyber-défense; notamment l’automatisation. En bref, nous avons besoin d’elles pour réorganiser plus efficacement notre écosystème.
Ces fournisseurs contribuent d’autre part à améliorer la cyber-résilience grâce à leurs connaissances approfondies des attaques, de la collecte de données et du renseignement sur les menaces, mais l’importance de leur rôle est également liée aux innovations qu’ils utilisent. Les équipes internes, quant à elles, connaissent en profondeur leur activité, leur secteur et l’histoire de l’entreprise. Ce sont des équipes hybrides, composées d’experts en informatique et d’entrepreneurs chargés de faire le lien entre les actifs devant être protégés et les mesures de protection mises en place pour l’entreprise. Travailler en partenariat, et de façon transversale, est une réelle nécessité.