Alors que les cyberattaques se multiplient, voici comment les PDG peuvent améliorer la cyber-résilience.
Gérer avec succès la cyber-résilience est nécessaire car les organisations sont confrontées à des répercussions.
La cybersécurité et la résilience des entreprises sont de plus en plus scrutées par les investisseurs et les régulateurs.
Les principes du Forum économique mondial en matière de cyber-risque contribuent à renforcer la cyber-résilience dans tous les secteurs.
Une recherche assistée par simulation menée par le MIT CAMS montre que l’engagement et l’adoption des Principes de gestion des cyber-risques du Forum économique mondial améliorent considérablement la cyber-résilience.
Les résultats montrent également que, contrairement aux attentes, l’engagement envers ces principes de cyber-risque n’augmente pas les coûts.
La numérisation sans précédent de notre société a poussé de nombreux chefs d’entreprise et cadres à comprendre comment ils peuvent évaluer et gouverner le cyber risque de manière adéquate. La gouvernance du cyber risque est un processus holistique visant à améliorer la cyber résilience organisationnelle. Dans ce contexte, les gouvernements définissent les obligations en matière de cyber-résilience, désignent les infrastructures critiques qui nécessitent une protection obligatoire et aident les investisseurs à mieux comparer les cyber-efforts de leurs entreprises.
Il est nécessaire de gérer avec succès la cyber-résilience, car les organisations et les dirigeants s’exposent à des amendes et à d’autres conséquences graves. Les répercussions potentielles signifient que les membres du conseil d’administration doivent comprendre les cyberrisques et les meilleurs moyens de les atténuer.
C’est plus facile à dire qu’à faire. Quatre-vingt-treize pour cent des entreprises ont confiance dans leurs meilleures pratiques d’atténuation des cyberrisques, tandis que 57 % s’attendent à être touchées par une cyberattaque. Malheureusement, seule la moitié de ces organisations ont mis en place des cybermesures adaptées.
En 2021, le Forum économique mondial et ses partenaires, avec la National Association of Corporate Directors (NACD), l’Internet Security Alliance (ISA) et PwC, ont publié les Principes de gouvernance des conseils d’administration en matière de cyber-risque (les Principes de cyber-risque du Forum), essentiels pour favoriser la résilience dans tous les secteurs. Ces orientations (initialement développées pour les conseils d’administration des entreprises) sont résumées en six principes :
- Reconnaître que la cybersécurité est un outil stratégique pour l’entreprise.
- Comprendre les moteurs économiques et l’impact du cyber-risque.
- Aligner la gestion du risque cybernétique sur les besoins de l’entreprise.
- S’assurer que la conception organisationnelle favorise la cybersécurité.
- Intégrer l’expertise en matière de cybersécurité dans la gouvernance du conseil d’administration.
- Encourager la résilience et la collaboration systémiques.
Ce principe représente une approche très différente de la résilience par rapport à la façon dont les organisations délèguent la cybersécurité à l’informatique, ont une perception erronée de la nature stratégique du cyber risque et gardent les brèches sous contrôle.
Une perception erronée de la nature stratégique des cyberrisques peut avoir d’énormes conséquences. Par exemple, l’entreprise de logiciels Kasaye a subi une attaque par ransomware en juillet 2021, ce qui a entraîné le report de son introduction en bourse (IPO) jusqu’à nouvel ordre et l’a empêchée de lever environ 875 millions de dollars. En outre, SolarWinds, victime d’une brèche en 2019, disposait de techniques publicitaires spécifiques pour afficher leurs réussites commerciales de clients de premier plan, fournissant finalement une « liste d’achats » à l’adversaire.
Le cyber-risque étant une question essentielle dans l’agenda des dirigeants, le MIT CAMS a mis au point une méthode pour améliorer les capacités des dirigeants à prévoir et à gérer les cyber-risques. Cette technologie, appelée tableau de bord des cyberrisques, est fondée sur la théorie du contrôle et la dynamique des systèmes et s’appuie sur d’importantes recherches dans le domaine, notamment des entretiens avec des responsables de la sécurité des informations (CISO). Il a été validé au fil des ans dans une entreprise du classement Fortune 500 par l’analyse d’un large éventail de défis stratégiques liés aux cyberrisques.
Le tableau de bord reproduit fidèlement l’écosystème de prise de décision en matière de cyber-risque. Il prend en compte la posture de défense actuelle et le développement des tactiques d’attaque, les cyberincidents émergents et l’évolution des organisations en termes de personnel, de processus et de technologie. Le tableau de bord des cyberrisques permet d’établir des projections en fonction des indicateurs de performance de la stratégie de cybersécurité d’une organisation. Ce travail peut être facilement adapté à d’autres analyses stratégiques. Lors de l’adaptation des principes de cyberrisque du Forum, les CAM du MIT ont utilisé une approche fondée sur la simulation pour comprendre le comportement organisationnel.
L’utilisation de personas – des profils de décideurs artificiels présentant des caractéristiques spécifiques qui déterminent leur stratégie de gestion des cyber-risques – est une approche scientifiquement fondée pour explorer l’aspect comportemental de la gestion des cyber-risques. En utilisant les personas de différentes organisations pour guider la prise de décision stratégique, cette technologie de simulation peut prévoir l’impact futur de leur stratégie. Dans cette analyse, nous réutilisons également les données de notre étude de cas anonymisée dans une entreprise Fortune-500 appelée Smart Wealth Management Inc. En tant que tel, nous reconnaissons :
Le PDG cyber-conscient (CC-CEO)
Ce PDG peut connaître les principes mais ne les a pas (encore) adoptés. Ce PDG se concentre sur une conformité raisonnable aux normes de sécurité et contrôle les coûts de sécurité. L’augmentation de la charge de travail et le manque de ressources en matière de sécurité l’incitent à adopter une approche plus réactive du cyber-risque.
Le PDG résilient du WEF (WEF-CEO)
Ce PDG est cyberconscient mais est allé plus loin en adoptant les principes de cyberrisque du Forum pour favoriser la résilience. Il ou elle peut être signataire de l’engagement de cyber-résilience du Forum. Ce PDG a une approche proactive et anticipative des menaces, il sait comment sa technologie oriente son activité et se concentre sur le maintien des performances de l’entreprise et les prévisions de coût du cyber-risque.
La conscience stratégique favorise la cyber-résilience
Nous observons une différence significative lorsque nous comparons la force de la posture de défense représentée par le nombre d’incidents de sécurité/de biens compromis. Le PDG qui suit les principes du Forum en matière de cyber-risque (le PDG du WEF) est censé avoir jusqu’à 85 % de cyber-incidents en moins par rapport au PDG du CC.
Les efforts en matière de cyber-risque et la hiérarchisation des tâches du WEF-CEO permettent une intervention précoce qui limite le comportement adverse, alors que l’équipe du CC-CEO réagit souvent plus lentement, ce qui profite finalement à l’adversaire.
Des observations similaires peuvent être faites dans le profil de risque concernant une distribution de la fréquence des cyberincidents potentiels en faveur du WEF-CEO, principalement lorsqu’un grand nombre de cyberincidents peut nécessiter l’aide des équipes informatiques aux équipes de sécurité. Ces situations, connues sous le nom d’effets de contagion, nécessitent une redéfinition des priorités des tâches informatiques, généralement au détriment de la réalisation des projets informatiques.
Une approche résiliente n’augmente pas les coûts
Le PDG du FME a probablement des coûts moins élevés que le PDG du CC. La principale différence entre ces deux scénarios réside dans la répartition des priorités des tâches et des efforts en matière de cyber-risque du personnel de sécurité. Le CC-CEO a des efforts continus qui nécessitent des ressources en personnel supplémentaires pour soutenir les processus de réponse et de récupération, exécuter des recherches post-mortem et ajuster et améliorer les capacités de sécurité en conséquence. La sécurité par conception mise en œuvre par le CC-CEO a un ajustement et une amélioration continus et proactifs des capacités (y compris l’automatisation continue) et a mis en place un tableau de bord et des rapports réguliers sur les cyber-risques au niveau du conseil d’administration.
–
SEO INSIDE est une agence de formation SEO (notamment…).
--
SEO Inside est une agence web et SEO - en savoir plus sur nous:
Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis
Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.
Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco
SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.
