Cyber-résilience : un impératif commercial que les RSSI doivent prendre en compte

Pour répondre aux exigences, la plupart des entreprises publiques prennent des mesures proactives pour s’assurer qu’elles disposent de systèmes pour évaluer et répondre aux incidents.

« Malheureusement, dans de nombreux cas, ces processus sont établis en dehors du cadre de résilience opérationnelle et, par conséquent, ils ne sont pas intégrés au programme de gestion de crise de l’entreprise », explique Nolan, qui recommande aux organisations de s’engager de manière proactive dans les cadres juridiques et réglementaires et les intégrer dans leurs stratégies de cyber-résilience. Cette approche peut contribuer à minimiser les pénalités et à renforcer leur posture globale de cyber-résilience.

DORA et les réglementations émises par la SEC ont tendance à créer des répercussions à travers le monde, selon Zhao de Gartner.

« Les changements réglementaires dans une juridiction ont souvent des implications transfrontalières, car les sociétés multinationales opérant à l’échelle mondiale doivent se conformer à plusieurs cadres réglementaires », dit-elle. « Cela a conduit les organisations à harmoniser leurs stratégies de cyber-résilience sur différents marchés, en garantissant des pratiques de sécurité cohérentes et le respect des diverses réglementations. »

Les réglementations ont également joué un rôle clé dans la sensibilisation à l’importance de la cyber-résilience. Ils encouragent les entreprises à évaluer leur posture de sécurité ainsi que la surveillance et la gouvernance de leur conseil d’administration, selon Abend d’Accenture Security.

« Cependant, nous assistons à une prise de conscience croissante de la part des PDG, des cadres supérieurs et des conseils d’administration à l’égard de ces risques, motivée non seulement par des réglementations, mais aussi par de véritables préoccupations commerciales », dit-elle.

Mais même si la réglementation est utile, la conformité à elle seule ne signifie pas nécessairement la résilience.

Les organisations pourraient « courir le risque de tomber dans un faux sentiment de sécurité selon lequel leur solide posture de conformité équivaut à une solide posture de sécurité », explique Edgeworth de Bishop Fox.

L’importance des gens

Alors que de nombreuses organisations investissent dans des solutions techniques pour la cyber-résilience, elles négligent souvent l’importance d’avoir les bonnes personnes à bord et de favoriser parmi elles une culture de sensibilisation à la sécurité.

« La capacité de trouver rapidement des cyber-talents à un tarif abordable crée des vulnérabilités au sein de l’industrie », déclare Shaha de CyberMaxx.

C’est pourquoi les responsables de la sécurité doivent développer des stratégies de sourcing solides et diversifiées pour garantir que les besoins changeants en talents soient satisfaits.

En outre, ils devraient également investir dans des programmes de formation allant au-delà des connaissances de base sur les e-mails de phishing et la sécurité des mots de passe, explique Daniels de Trustwave. La formation devrait plutôt « englober une compréhension plus approfondie des cybermenaces, de l’importance de la protection des données et du rôle de chacun dans le maintien de la cyber-résilience », ajoute-t-il.

Exercices et simulations de crise aider aussi. « Les entreprises doivent s’assurer que leurs exercices utilisent une variété de scénarios pour garantir que les plans d’intervention peuvent gérer les événements inattendus », explique Williams de GuidePoint. « Ces événements cygnes noirs peuvent être gérés en toute confiance si le processus de planification reste pertinent et à jour. »

De tels exercices doivent être effectués régulièrement et doivent être difficiles. « Ce n’est qu’en menant des exercices stimulants qui repoussent les limites des équipes, des politiques et des procédures qu’une organisation saura où se situent ses limites et où elle doit s’améliorer », explique Dicker de FS-ISAC. « Un incident ne devrait jamais être la première fois que vous testez votre plan d’intervention. »