Les cyber-risques constituent une menace de plus en plus pressante pour les entreprises de toutes tailles et de tous secteurs. Il y a (au moins) trois facteurs révélateurs :
- L'augmentation constante du nombre et de la gravité des attaques. Le récent rapport de l'ANSSI a constaté une augmentation de 30% des attaques en 2023 par rapport à l'année précédente. Aujourd’hui, 4 cas sur 5 entrent dans la catégorie de gravité élevée ou critique.
- Le volume et la valeur des données ne cessent de croître, les rendant de plus en plus attrayantes pour les cybercriminels. Selon un rapport d'IBM, en 2023, il y a eu une augmentation de 266% des logiciels malveillants conçus pour voler des informations personnelles identifiables.
- Les directives NIS2 et DORA de l'Union Européenne illustre une volonté claire de gérer de manière stricte les risques cyber à l'échelle des entreprises européennes. Ces directives permettent aux entreprises de protéger non seulement leurs propres intérêts, mais aussi ceux de leurs partenaires et clients, en instaurant des mesures de sécurité robustes et harmonisées.
Il incombe désormais aux entreprises de développer et d'exécuter une stratégie de cybersécurité qui adopte simultanément une approche préventive et réactive face à toute menace interne et externe.
Cela commence par une réflexion approfondie dans une perspective de gestion des risques et par une évaluation rigoureuse des cyber-risques. Pour ce faire, l'outil méthodologique EBIOS Risk Manager (EBIOS-RM), dérivé français de la norme ISO 27005 proposé par l'ANSSI constitue un cadre de référence essentiel.
Les entreprises les plus attentives à leur sécurité, développent et mettent en œuvre un véritable système de gestion de la cybersécurité.
Dans cet article, nous examinerons brièvement les éléments et les étapes clefs nécessaires à l'élaboration d'une évaluation cyber.
L'évaluation des cyber-risques, un premier pas vers la sécurité
Toutes les entreprises utilisant des outils informatiques sont assujetties au cyber-risque ; les conséquences et incidences potentielles sur son activité ne peuvent être ignorés ou banalisés, dans un environnement toujours plus digitalisé et connecté.
Par définition, le cyber-risque correspond à l'exposition d'une entreprise à des dommages économiques et à sa réputation résultant d'incidents informatiques.
L'association avec la cybercriminalité est intuitive, mais ne peut et ne doit pas être exclusive : de nombreuses violations de données dépendent en effet d'erreurs involontaires, d'hacktivisme (qui n'est pas formellement un cybercrime), d'erreurs ou de sabotages internes.
L’art de la cybersécurité, comme son domaine parent, réside dans la capacité à anticiper les risques par le biais d’une stratégie de gestion des cyber-risques qui tienne compte des menaces, des vulnérabilités et des impacts.
La première étape passe par l’évaluation des cyber-risques, c'est-à-dire un processus structuré que les entreprises mettent en œuvre pour identifier, évaluer et atténuer ces derniers ; l'objectif du processus est de fournir un aperçu détaillé des vulnérabilités existantes, des cybermenaces potentielles et des conséquences des cyber-risques, afin d'identifier les priorités d'action.
Comment fonctionne une évaluation des cyber-risques
Même si elle peut différer d’une organisation à l’autre, une évaluation des cyber-risques suit généralement quelques étapes clefs.
- La première étape consiste à collecter des informations sur les actifs numériques sensibles de l'entreprise, notamment les données, les réseaux, les applications et les systèmes. Cela vous permet d’obtenir une première estimation approximative de ce qui nécessite une protection.
- L'étape suivante, guidée par des consultants experts, consiste à identifier les menaces potentielles qui pourraient compromettre la sécurité, le fonctionnement et la confidentialité de ces ressources. Les suspects sont souvent des attaques externes via des malwares, du phishing et des DDoS, ou encore des actes de sabotage ou des erreurs internes. Considérez que le simple fait d’envoyer un document confidentiel par courrier électronique à la mauvaise personne suffit à provoquer formellement une violation de données. Il est utile de procéder à une analyse approfondie des menaces en élargissant le champ d’identités et à la réputation des marques.
- Pour que les risques se transforment en dommages concrets ou en violations des dispositions réglementaires, la présence de vulnérabilités spécifiques et la capacité des acteurs menaçants à les exploiter à leur avantage. Nous entrons ici dans un domaine spécifique qui est celui de l'évaluation des vulnérabilités, qui, en plus de scanner les vulnérabilités (généralement une activité automatisée), identifie leur gravité réelle pour l'entreprise.
- Enfin, une analyse d'impact est effectuée : les conséquences financières, opérationnelles et de réputation (qui sont les plus difficiles à quantifier) d'une attaque sont estimées, afin de mieux comprendre les conséquences et prioriser l'atténuation des risques.
Évaluation des risques cyber, il est désormais possible d'élaborer une stratégie de défense
Après l’évaluation des risques cyber, il est possible d’élaborer une véritable stratégie de sécurité. La stratégie doit être conditionnée par l'analyse menée préalablement, en prenant en compte (dans une perspective prioritaire) à la fois les menaces les plus probables et celles à fort impact.
Pour gérer efficacement ces risques, il est nécessaire de définir une approche méthodologique et de se doter des bons outils de défense, tant de manière préventive, réactive que curative. Au niveau méthodologique, des rôles, des procédures et des politiques de sécurité doivent être définis, qui minimisent le risque cyber et garantissent, le cas échéant, une réponse rapide et efficace.
Sur le plan technique, il est nécessaire de mettre en œuvre des outils et des technologies avancés tels que le chiffrement, les systèmes d'accès multifacteur, les systèmes de protection des réseaux et des points de terminaison, en les fusionnant en une seule grande stratégie de sécurité. Si l'enjeu réside dans les compétences, de plus en plus rares de nos jours, une option recommandée est de se tourner vers des opérateurs spécialisés, capables de surveiller en permanence l'infrastructure de leurs clients, de détecter les comportements suspects et d'agir en conséquence.