Cyber-résilience : une exigence d’entreprise que les RSSI doivent comprendre

En mai 2021, lorsque Colonial Pipeline a été ciblé par des pirates informatiques du côté obscur, le PDG Joseph Blount a pris la décision très controversée de payer une rançon de 4,4 millions de dollars. L’attaque a mis en danger les infrastructures critiques des États-Unis et a donné lieu à des briefings quotidiens pour le président Joe Biden. Blount a justifié le paiement de la rançon comme étant nécessaire pour la nation et a qualifié cette décision de l’une des plus difficiles de sa carrière.

« Nous avons été placés dans une situation difficile et contraints de faire des choix difficiles auxquels aucune entreprise ne veut faire face », a déclaré Blount devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales des États-Unis.

Alors que les paiements de ransomware devraient atteindre le chiffre record de 1,1 milliard de dollars en 2023, les chefs d’entreprise doivent plus souvent faire des choix difficiles comme celui-ci. Un nombre croissant d’OSC et de PDG comprennent que la question n’est pas de savoir si une attaque aura lieu, mais quand.

« Le plus grand changement pour moi est que j’accepte désormais pleinement que des attaques se produisent », a déclaré le PDG d’une entreprise européenne valant 4 milliards de dollars, selon un rapport publié par l’ISTARI et l’Université d’Oxford. « Croyez-moi, il existe une différence fondamentale d’approche entre les organisations qui acceptent que des attaques se produisent et celles qui croient pouvoir repousser les attaques. »

En acceptant le caractère inévitable des violations de données, les entreprises peuvent devenir plus résilientes aux cyberattaques qu’elles ne le sont aujourd’hui. Trop souvent, les entreprises considèrent la résilience comme un exercice de liste de contrôle pour les régulateurs et négligent de fournir aux RSSI tout ce dont ils ont besoin pour véritablement rebondir après une attaque.

Farimani, PDG de RapidFort, affirme que la capacité à résister aux incidents de cybersécurité et à s’en remettre nécessite une réflexion allant au-delà de la conformité.

« Bien sûr, vous avez toujours coché la case indiquant que vous avez sauvegardé vos logiciels et données critiques, mais serez-vous en mesure de récupérer rapidement si un imprévu se produit, ou cela prendra-t-il deux semaines ? de tels systèmes fonctionnent-ils correctement ? », a déclaré Farimani au CSO.

Lorsqu’on leur a demandé d’évaluer leur capacité à répondre aux cyber-risques sur une échelle de 1 à 10, de nombreux responsables de la sécurité informatique ont exprimé leur pessimisme, selon le rapport Barracuda Resilience publié en avril. Les institutions de services financiers semblent être les mieux préparées, avec 55 % d’entre elles jugeant leur posture de sécurité très efficace. Dans le même temps, seulement 32 % des entreprises opérant dans le secteur industriel et manufacturier ont exprimé leur optimisme, tandis que dans le secteur du commerce de détail, ce chiffre était de 39 %. En général, les petites entreprises ont moins confiance dans leur capacité à répondre aux cybermenaces.

Avec l’instabilité géopolitique, l’intelligence artificielle et l’augmentation des inégalités de richesse, les responsables de la sécurité de l’information (RSSI) doivent non seulement renforcer davantage les cyberdéfenses de leur organisation, mais aussi réagir rapidement en cas de cyberattaque. pire scénario afin qu’ils puissent se rétablir.

La cyber-résilience est à l’honneur

Le concept de cyber-résilience est devenu partie intégrante de la stratégie commerciale globale actuelle. En fait, Cory Daniels, RSSI chez Trustwave, a déclaré à CSO Magazine : « Les conseils d’administration commencent à se demander : ‘Est-il important d’avoir un responsable de la résilience avec un titre officiel ?’ »

À la suite des récentes cyberattaques très médiatisées, comme celle subie par Colonial Pipeline, l’élément disponibilité de la triade CIA (confidentialité, intégrité, disponibilité) est devenu de plus en plus important. En effet, les interruptions d’activité affectent non seulement la continuité des activités, mais également la confiance des clients et la réputation globale de l’entreprise sur le marché.

Daniels affirme qu’il est essentiel d’adopter une « approche holistique » de la cyber-résilience. En effet, chaque aspect de l’entreprise et chaque équipe doivent être pris en compte, des employés et partenaires jusqu’au conseil d’administration.

Les organisations disposent souvent de plus de capacités qu’elles ne le pensent, mais ces ressources peuvent être réparties entre différents départements. De plus, les groupes chargés d’établir la cyber-résilience peuvent manquer de visibilité sur les capacités existantes au sein de leur organisation.

« Il existe une énorme richesse d’informations sur les opérations de réseau et de sécurité que d’autres peuvent exploiter », a déclaré Daniels.

De nombreuses entreprises intègrent la cyber-résilience dans leurs processus de gestion des risques d’entreprise. Ils prennent des mesures proactives pour identifier les vulnérabilités, évaluer les risques et mettre en œuvre des contrôles appropriés.

« Cela inclut des évaluations d’exposition, des validations régulières telles que des tests d’intrusion et une surveillance continue pour détecter et répondre aux menaces en temps réel », a déclaré Angela Chao, analyste chez Gartner.

Selon Cameron Dicker, directeur de la résilience commerciale mondiale chez FS-ISAC, ces mesures proactives s’étendent souvent au-delà des frontières immédiates d’une organisation pour inclure les fournisseurs et les partenaires.

« Les entreprises devraient approfondir leurs fournisseurs de services et leurs chaînes d’approvisionnement en logiciels pour identifier où se situent les risques de sécurité et élaborer des plans de réponse aux incidents en conséquence », déclare-t-il.

Supply chain logicielle : un élément clé dans l’équation de la résilience

Malheureusement, comme le souligne Daniels de Trustwave, l’analyse de la chaîne d’approvisionnement en logiciels reste un domaine sous-discuté de la cyber-résilience.

« Les entreprises devraient effectuer des tests d’intrusion approfondis et des évaluations des risques de leurs chaînes d’approvisionnement, imposer des exigences en matière de cybersécurité à leurs fournisseurs et élaborer des plans d’urgence pour réduire l’impact des perturbations de la chaîne d’approvisionnement sur leurs opérations. »

Lorsqu’ils envisagent des fournisseurs potentiels, en particulier ceux qui se connectent au réseau privé d’une entreprise, les professionnels de la sécurité s’assurent que le contrat ou l’accord-cadre de services (MSA) est très précis sur la résilience globale, à la fois cybernétique et commerciale, explique-t-il. Bobby Williams, chef d’équipe de continuité des activités chez GuidePoint Security.

« Les fournisseurs doivent être contractuellement responsables des programmes définis de continuité des activités, de reprise après sinistre et de sécurité de l’information », ajoute Williams. « Un programme de tests défini pour démontrer la résilience du fournisseur doit être inclus dans le contrat, et les résultats des tests doivent être disponibles pour examen par l’entreprise. »

Si le fournisseur fournit des services ou des applications logiciels, le contrat doit clairement indiquer l’objectif de temps de récupération (RTO) et l’objectif de point de récupération (RPO).

« Les fournisseurs doivent être en mesure de démontrer leur RTO et leur RPO grâce aux tests requis », explique Williams. « Les fournisseurs devraient également être tenus contractuellement de démontrer comment ils sauvegardent les données des clients et de fournir des calendriers de conservation des données », ajoute Williams. La mise en miroir des données n’est pas un substitut acceptable à la sauvegarde des données des clients, a déclaré Williams.

Les risques associés aux chaînes d’approvisionnement en logiciels ne doivent pas être pris à la légère.

« Nous avons récemment subi quelques cyberattaques », a déclaré Aaron Schach, responsable de la sécurité de l’information chez CyberMaxx. « C’est un domaine qui continuera à nécessiter une surveillance importante. »

L’IA augmente la complexité

L’essor de l’IA générative comme outil pour les pirates informatiques complique encore davantage les stratégies de résilience des entreprises. L’IA générative permet même aux individus peu qualifiés de mener des cyberattaques complexes. En conséquence, la fréquence et la gravité des attaques peuvent augmenter, obligeant les entreprises à intensifier leur réponse.

En revanche, les outils d’IA générative sont moins efficaces à des fins défensives. Les organisations les utilisent principalement dans un rôle d’assistant. Les domaines dans lesquels l’IA s’est avérée efficace comprennent la détection et l’analyse des menaces, la détection des anomalies, la surveillance comportementale et les systèmes de réponse automatisés. L’intelligence artificielle est également utilisée pour la gestion des risques et la révision des codes.

« Les algorithmes d’IA peuvent analyser rapidement de grandes quantités de données, identifier des modèles et détecter des menaces et des vulnérabilités potentielles qui passeraient inaperçues pour les opérateurs humains », a déclaré Valerie Aband, responsable de la stratégie mondiale d’Accenture Security.

Il existe également des avantages à tirer parti de l’IA pour créer et maintenir des programmes de cyber-résilience. « De la personnalisation et du développement de politiques de sécurité de l’IA au déploiement de technologies d’IA avancées et à la fourniture d’un support opérationnel continu, nos solutions aident les organisations à garantir la confiance, la transparence et la conformité tout au long du processus de mise en œuvre de l’IA », a déclaré Tamara Nolan, directrice de la cyber-résilience opérationnelle chez MorganFranklin. Consultant.

Cependant, pour l’instant, l’IA dans la cybersécurité ne remplace pas la surveillance humaine, mais seulement un rôle supplémentaire. « L’IA peut aider dans certains aspects instrumentaux, mais à ce stade de son évolution, sa contribution à la gestion des risques est encore limitée », a déclaré Anastasia Voytova, responsable de l’ingénierie de sécurité chez Cossack Labs. « L’IA est un outil destiné aux professionnels de la sécurité, et non aux professionnels de la sécurité eux-mêmes. »

Farimani de RapidFort est d’accord, ajoutant que même si les outils d’IA peuvent certainement aider à développer et à communiquer des plans de résilience, ils ne sont pas suffisamment fiables pour que les systèmes soient en pilote automatique lorsqu’il s’agit de les protéger.

Dans les années à venir, le rôle de l’IA dans la résilience en matière de cybersécurité va s’élargir. Les outils basés sur l’IA seront mieux à même de détecter les menaces et d’y répondre en temps réel. En outre, Abend a déclaré que l’IA sera probablement exploitée pour renforcer les mécanismes d’authentification des utilisateurs et de contrôle d’accès, ainsi que pour améliorer la résilience globale des systèmes d’infrastructures critiques.

Pourquoi la réglementation complique la cyber-résilience

L’évolution des cadres réglementaires à travers le monde fait qu’il est difficile pour les agents de sécurité de se tenir au courant de tout ce qu’ils doivent respecter. Cependant, le respect de ces exigences légales contribuera à réduire les risques et à maintenir la réputation de votre organisation.

« La réglementation offre de nombreux avantages, notamment en aidant les entreprises à concentrer leurs efforts de gestion des risques d’entreprise et en jouant un rôle majeur dans l’augmentation de la responsabilité en matière de stratégies de résilience des entreprises », a déclaré Trevin Edgeworth, directeur de la pratique de l’équipe rouge de Bishop Fox. Selon lui, le respect de ces règles augmentera la transparence concernant les fuites de données et les mesures de sécurité.

Les réglementations émises par le Digital Business Continuity Act (DORA) de l’Union européenne et par la Securities and Exchange Commission (SEC) des États-Unis changent la manière dont les entreprises abordent la cyber-résilience.

DORA entrera en vigueur le 17 janvier 2025 et vise à renforcer la sécurité des institutions financières telles que les banques, les compagnies d’assurance et les sociétés d’investissement. Les institutions financières non européennes et les fournisseurs de services de technologies de l’information et des communications doivent également se conformer à la DORA s’ils fournissent des services techniques critiques aux institutions financières basées dans l’UE.

« Compte tenu de cette nouvelle réglementation et des préoccupations générales concernant les cyberattaques, les sociétés de conseil consacrent moins de temps à la planification de la résilience face à toutes les menaces et davantage à la résilience informatique, en particulier à l’alignement des processus métier avec les applications et l’infrastructure qui les prennent en charge. nos heures », a déclaré Nolan de MorganFranklin à CSO.

Elle conseille aux entreprises de s’efforcer de couvrir tous les aspects de la résilience, plutôt que de se contenter de cocher les cases exigées par des réglementations telles que DORA. En effet, « on suppose que les éléments de résilience opérationnelle sous-jacents sont déjà en place avant que les exigences DORA puissent être satisfaites ».

Les entreprises opérant sur le marché américain doivent également rester vigilantes et veiller au respect des réglementations en constante évolution. En juillet 2023, la Securities and Exchange Commission (SEC) a introduit de nouvelles exigences de déclaration pour les sociétés cotées en bourse. La règle exige des divulgations 8-K sur les incidents importants de cybersécurité et oblige les entreprises à fournir chaque année des informations importantes sur leur gestion des risques, leur stratégie et leur gouvernance en matière de cybersécurité.

Pour répondre à cette exigence, la plupart des entreprises publiques prennent des mesures proactives pour mettre en œuvre des systèmes permettant d’évaluer et de répondre aux incidents.

« Malheureusement, dans de nombreux cas, ces processus sont construits en dehors d’un cadre de continuité des activités et ne sont pas intégrés au programme de gestion de crise d’une entreprise », a déclaré Nolan, ajoutant que les organisations ont du mal à se conformer aux cadres juridiques et réglementaires. en l’intégrant à votre stratégie de cyber-résilience. Cette approche peut minimiser les pénalités et renforcer votre posture globale de cyber-résilience.

Selon Zhao de Gartner, les réglementations émises par DORA et la SEC ont tendance à avoir des répercussions dans le monde entier.

« Les changements réglementaires dans une juridiction ont souvent des effets transfrontaliers, car les sociétés multinationales opérant à l’échelle mondiale doivent se conformer à plusieurs cadres réglementaires », explique-t-elle. «Cela a créé la nécessité pour les organisations d’harmoniser leurs stratégies de cyber-résilience sur différents marchés afin de garantir des mesures de sécurité cohérentes et une conformité réglementaire.»

La réglementation joue également un rôle important dans la sensibilisation à l’importance de la cyber-résilience. Abend d’Accenture Security a déclaré que la réglementation encourage les entreprises à évaluer leur posture de sécurité ainsi que la surveillance et la gouvernance de leur conseil d’administration.

« Mais les PDG, les dirigeants et les conseils d’administration sont de plus en plus conscients de ces risques. Ce ne sont pas seulement des préoccupations réglementaires, ce sont des préoccupations commerciales fondamentales », dit-elle.

Mais même si la réglementation est utile, la conformité à elle seule ne signifie pas nécessairement la résilience.

« Les entreprises courent le risque de se laisser bercer par un faux sentiment de sécurité selon lequel être conforme signifie être en sécurité », a déclaré Edgeworth de Bishop Fox.

Importance des ressources humaines

Alors que de nombreuses organisations investissent dans des solutions technologiques pour la cyber-résilience, elles négligent souvent l’importance de disposer des bons talents et de favoriser une culture de sensibilisation à la sécurité.

« La disponibilité de talents en cybersécurité bon marché et rapides crée des vulnérabilités dans l’industrie », a déclaré Shah de CyberMaxx.

En conséquence, les responsables de la sécurité doivent développer une stratégie de sourcing solide et diversifiée pour répondre à l’évolution des besoins en talents.

De plus, Daniels de Trustwave affirme que vous devriez investir dans des programmes de formation qui vont au-delà des connaissances de base sur les e-mails de phishing et la sécurité des mots de passe. La formation devrait permettre de mieux comprendre « les cybermenaces, l’importance de la protection des données et le rôle de chacun dans le maintien de la cyber-résilience », ajoute-t-il.

Les exercices et simulations de crise sont également efficaces. « Les entreprises devraient intégrer une variété de scénarios dans leurs exercices pour garantir que leurs plans d’intervention peuvent gérer les imprévus », explique Williams de GuidePoint. « Si vos processus de planification sont en place et à jour, vous pouvez gérer en toute confiance ces événements cygnes noirs.

De tels exercices doivent être effectués régulièrement et avec des niveaux de difficulté croissants. « Des exercices difficiles qui remettent en question les limites des équipes, des politiques et des procédures permettent aux organisations de comprendre leurs limites et les domaines dans lesquels elles peuvent s’améliorer », déclare Dicker de FS-ISAC. « Ne testez jamais votre plan d’intervention avant qu’un incident ne se soit produit. »