Les cyber-risques constituent une menace de plus en plus pressante pour les entreprises de toutes tailles et de tous secteurs. Il y a (au moins) trois facteurs révélateurs :
Il incombe désormais aux entreprises de développer et d'exécuter une stratégie de cybersécurité qui adopte simultanément une approche préventive et réactive face à toute menace interne et externe.
Cela commence par une réflexion approfondie dans une perspective de gestion des risques et par une évaluation rigoureuse des cyber-risques. Pour ce faire, l'outil méthodologique EBIOS Risk Manager (EBIOS-RM), dérivé français de la norme ISO 27005 proposé par l'ANSSI constitue un cadre de référence essentiel.
Les entreprises les plus attentives à leur sécurité, développent et mettent en œuvre un véritable système de gestion de la cybersécurité.
Dans cet article, nous examinerons brièvement les éléments et les étapes clefs nécessaires à l'élaboration d'une évaluation cyber.
Toutes les entreprises utilisant des outils informatiques sont assujetties au cyber-risque ; les conséquences et incidences potentielles sur son activité ne peuvent être ignorés ou banalisés, dans un environnement toujours plus digitalisé et connecté.
Par définition, le cyber-risque correspond à l'exposition d'une entreprise à des dommages économiques et à sa réputation résultant d'incidents informatiques.
L'association avec la cybercriminalité est intuitive, mais ne peut et ne doit pas être exclusive : de nombreuses violations de données dépendent en effet d'erreurs involontaires, d'hacktivisme (qui n'est pas formellement un cybercrime), d'erreurs ou de sabotages internes.
L’art de la cybersécurité, comme son domaine parent, réside dans la capacité à anticiper les risques par le biais d’une stratégie de gestion des cyber-risques qui tienne compte des menaces, des vulnérabilités et des impacts.
La première étape passe par l’évaluation des cyber-risques, c'est-à-dire un processus structuré que les entreprises mettent en œuvre pour identifier, évaluer et atténuer ces derniers ; l'objectif du processus est de fournir un aperçu détaillé des vulnérabilités existantes, des cybermenaces potentielles et des conséquences des cyber-risques, afin d'identifier les priorités d'action.
Même si elle peut différer d’une organisation à l’autre, une évaluation des cyber-risques suit généralement quelques étapes clefs.
Après l’évaluation des risques cyber, il est possible d’élaborer une véritable stratégie de sécurité. La stratégie doit être conditionnée par l'analyse menée préalablement, en prenant en compte (dans une perspective prioritaire) à la fois les menaces les plus probables et celles à fort impact.
Pour gérer efficacement ces risques, il est nécessaire de définir une approche méthodologique et de se doter des bons outils de défense, tant de manière préventive, réactive que curative. Au niveau méthodologique, des rôles, des procédures et des politiques de sécurité doivent être définis, qui minimisent le risque cyber et garantissent, le cas échéant, une réponse rapide et efficace.
Sur le plan technique, il est nécessaire de mettre en œuvre des outils et des technologies avancés tels que le chiffrement, les systèmes d'accès multifacteur, les systèmes de protection des réseaux et des points de terminaison, en les fusionnant en une seule grande stratégie de sécurité. Si l'enjeu réside dans les compétences, de plus en plus rares de nos jours, une option recommandée est de se tourner vers des opérateurs spécialisés, capables de surveiller en permanence l'infrastructure de leurs clients, de détecter les comportements suspects et d'agir en conséquence.