Cybersécurité : les 10 défis de 2023
Avec des crises toujours plus visibles et plus nombreuses, le sujet de la cybersécurité est plus que jamais à l’agenda des dirigeants en 2023 Dans la dernière enquête PwC, Global Digital Trust Insights 2023, même si plus de 70 % des 3 522 personnes interrogées ont observé des améliorations en matière de cybersécurité au cours de l'année 2022, ils sont encore moins de 40 % à considérer que leurs initiatives ont pleinement atténué les risques encourus. Aussi, malgré des progrès significatifs en matière de cyberdéfense ces dernières années, le risque cyber est toujours présent et son impact très important pour les entreprises touchées. Alors, comment prendre en compte ce risque, le minorer et faire preuve de résilience en matière de cybersécurité ?
Nos 10 recommandations pour viser une plus grande cyber résilience en 2023
1. Faites de votre RSSI (Responsable de la sécurité des systèmes d’information) un poste pivot dans votre entreprise
Le RSSI ou CISO (Chief Information Security Officer) est un maillon essentiel pour lutter efficacement contre les cyberattaques mais aussi pour sécuriser les programmes. Il constitue le rempart n°1 de votre entreprise contre le risque cyber. Nous vous engageons à continuer le mouvement de fond qui tend à transformer la fonction : le RSSI ne doit plus être vu comme un collaborateur purement technique au sein d’une direction informatique, sa fonction et les attentes liées à son poste deviennent stratégiques. A mesure que l'exposition aux cyber risques grandit, la fonction du RSSI doit se transformer. Ce dernier doit être beaucoup plus armé, d’abord sur un plan purement technique à mesure que le risque cyber grandit et se complexifie. Désormais, le RSSI est également attendu sur sa capacité de sensibilisation à la cybersécurité et de vulgarisation pour retranscrire le risque à des publics non initiés mais aussi sur sa capacité de management pour changer les modes de fonctionnement de l’entreprise. Le CISO (RSSI) a désormais un rôle de leadership beaucoup plus fort à jouer, et vous devez l’accompagner dans ce changement de dimension. L’un des enjeux réside en la construction de relations de confiance avec l’ensemble de la C-Suite.
2. Prêtez une attention particulière aux risques cyber liés à la transition vers le Cloud
La transition des entreprises vers le Cloud est en train de s’accélérer, et induit par la même occasion une exposition accrue aux risques cyber et à des nouvelles menaces. 38% des entreprises interrogées dans l’enquête Global Digital Trust Insights 2023 se disent exposées à travers le Cloud. L’interconnexion des environnements Cloud qui peut exister avec les systèmes d’information des entreprises doit être perçue comme une nouvelle porte d’entrée potentielle pour les attaquants. Aujourd’hui, un cloud non sécurisé peut permettre à un attaquant externe de le compromettre et in fine, de compromettre le système d’information de l’entreprise. En s’appuyant sur des grands acteurs du Cloud, vous bénéficiez de leur force de frappe pour gérer la sécurité de ce Cloud, notamment via les patchs déployés régulièrement, qui visent à corriger des vulnérabilités. Attention toutefois à ne pas négliger les actions qui restent à la main de l’entreprise, telles que le paramétrage du Cloud, qui peuvent vous exposer à un risque accru si cette étape n’est pas prise au sérieux.
3. Jouez collectif et faites collaborer vos lignes de défense
On l’a vu, le déploiement du Cloud au sein de votre entreprise peut en améliorer sa sécurité, à condition de bien préparer les choses en amont (notamment avec la mise en œuvre des dispositifs à la main de l’entreprise qui permettent de se protéger et ceux qui permettent de s’assurer au fil de l’eau que le cloud reste sécurisé). Il s’agit ici d’établir des lignes de défense. La sécurité opérationnelle est du ressort de la première ligne de défense, tandis que le suivi et le challenge des dispositifs cybersécurité relèvent d’une deuxième ligne de défense (souvent intégrée au sein d’une direction des risques dans les environnements les plus matures). Ceci est l'œuvre d’un travail d’équipe, où toute l’organisation a un rôle à jouer. Pour réussir le défi de la cyber, il faut jouer collectif, et être dans une démarche constructive. La deuxième ligne de défense doit sortir d’une logique encore trop punitive pour aller vers du collaboratif. Son rôle est de compléter une première ligne qui dispose de moyens pour sécuriser les environnements, avec une dimension de contrôle qui challenge de manière constructive les premières lignes de défense.
4. Partagez et évangélisez autour de vos boucliers de défense
Chacun de vos collaborateurs doit pouvoir jouer son rôle de “rempart” aux cyberattaques, dans les équipes informatiques mais pas que. L’ensemble des parties prenantes de l’entreprise doit être sensibilisé aux points d’entrées qui peuvent être exploités par les attaquants, et ce, jusqu’aux clients finaux. Mettez en place une démarche afin de sensibiliser en continu. Cette sensibilisation est une étape obligatoire pour faire évoluer les modes de fonctionnement et les usages de la technologie et ainsi mieux se protéger.
Cliquez ici pour découvrir la solution PwC de sensibilisation aux risques cyber.
5. Développez une approche cyber by design
A mesure que l’entreprise se digitalise et se dote d’outils technologiques, elle gagne en agilité mais elle accroît en parallèle son exposition aux risques cyber car elle déploie des nouvelles portes d’entrée qui peuvent être exploitées par les attaquants. Il est alors clé d’intégrer la cybersécurité dans tous les projets technologiques, dès leur conception, et en particulier dans ceux qui concernent la transformation digitale de l’entreprise. Ce n’est qu’à cette condition que ces derniers deviennent une opportunité pour l’entreprise et non une source de menaces additionnelles.
6. Allez vers le paradigme de la résilience opérationnelle
Ne cantonnez plus la cybersécurité à sa seule dimension technique. Le paradigme de résilience opérationnelle intègre la cybersécurité à d’autres dimensions telles que la gestion des risques informatiques, la continuité d’activité ou encore la gestion des risques liés au tiers pour aller vers une entreprise plus résiliente, capable de fonctionner en cas de perturbations.
7. Menez vos initiatives cyber jusqu’au bout
Un grand nombre de dispositifs cyber sont lancés mais ils sont encore malheureusement trop peu efficients, c'est-à-dire qu’ils ne couvrent pas encore assez l’ensemble du périmètre de l’entreprise. Il est essentiel de poursuivre vos initiatives et de les mener à bien.
8. Mettez-vous en conditions réelles et testez vos dispositifs de sécurité
Les cyberattaques ne sont pas une fiction, de nombreuses entreprises en ont fait les frais et en seront encore victimes en 2023. Mais il peut être difficile et abstrait pour un dirigeant d’appréhender cette réalité sans l’avoir déjà vécue. Or, on observe que les acteurs ayant le plus progressé en matière de gestion des risques cyber sont ceux qui ont subi une ou plusieurs cyberattaques (PwC Global Digital Trust Insights Survey, 2023). La préparation est donc une étape clé pour aller vers une plus grande résilience, et pour cela, rien de mieux que de tester ses dispositifs en conditions réelles et ses capacités à gérer la crise. Les outils digitaux mis au service de la sensibilisation en gestion de crise sont une piste à explorer pour se donner des armes supplémentaires pour réagir en cas d’attaque.
Découvrez Virtual Crisis Experience !
Vivez une cyberattaque et gérez une crise cyber en réalité virtuelle
Tour à tour PDG, RSSI ou encore DAF, les participants à l'expérience en réalité virtuelle intègrent la cellule de crise d'une entreprise victime d'une cyberattaque. Les décisions prises viendront changer la tournure de cette expérience immersive, et de l'issue de la crise.
9. Posez votre stratégie cyber et communiquez autour
Établissez une vision, alignée et comprise par l’ensemble des parties prenantes de l’entreprise et qui donne du sens. Identifiez et communiquez au sein de l’entreprise sur le rôle et les missions de la fonction cybersécurité. Cela donnera à comprendre aux autres fonctions de l’entreprise les demandes qui pourront être faites durant l’année par les équipes cyber, qui, par essence, peuvent être contraignantes. De manière générale, en allant vers plus de transparence, vous permettrez à toutes les fonctions, et en particulier au top management, de mieux comprendre le sujet de la cybersécurité et toutes ses implications opérationnelles.
10. Maintenez vos investissements tout en les optimisant
Alors que les budgets cybersécurité se maintiennent, voire se renforcent dans le contexte que l’on connaît (post-Covid et dans une situation économique incertaine), il est essentiel de conserver ce niveau d’investissement. Cela doit toutefois s’accompagner d’une recherche d’une plus grande efficacité encore, en cherchant à optimiser les budgets cybersécurité.
De toute évidence, il convient de traiter le risque cyber comme un risque systémique, en mettant en place une organisation qui permet de l’identifier, de mieux le comprendre, de l’appréhender efficacement, et d’y faire face de façon résiliente.