Malgré la prise de conscience croissante des décisionnaires, pas une semaine ne passe sans que la presse ne relaie la découverte d’une nouvelle faille de sécurité.
En mars 2018, les données de 87 millions d’utilisateurs de Facebook avaient été rendues publiques. Puis en juin, ce fut le tour du site Ticketmaster, qui a révélé que les données personnelles et coordonnées bancaires de près de 40 000 personnes avaient connu le même sort. Début septembre, des pirates se sont introduits dans les systèmes informatiques de British Airways, exposant au total 380 000 transactions. Enfin, une épée de Damoclès a flotté au-dessus des achats de fin d’année, puisque selon une étude, un tiers des consommateurs a vu ses informations sensibles livrées à des tiers malveillants.
Les brèches ouvertes, quelle que soit leur envergure, ont toujours des conséquences inattendues… et parfois dramatiques. Si l’on prend l’exemple du secteur de la vente de détail, de récentes études ont montré que 19% des consommateurs arrêteraient totalement de faire des achats auprès d’un détaillant s’il accuse des failles de sécurité. Il va sans dire qu’une telle perte serait catastrophique pour n’importe quelle entreprise.
Avec la mise en place de nouvelles réglementations telles que le RGPD, les amendes représentent un réel risque pour les dirigeants. Selon les estimations, si le règlement était entré en vigueur plus tôt, Facebook se serait vu infliger jusqu’à 1,4 milliard de dollars d’amende pour sa participation au scandale Cambridge Analytica, soit une somme non négligeable, et ce même pour un géant mondial. Et dans le cas des petites entreprises, l’idée de devoir s’affranchir de 4% de leur chiffre annuel ne serait franchement pas une bonne nouvelle.
Le budget sécurité doit-il vraiment être soumis à un calcul de retour sur investissement ?
Les conséquences de divulgation publique de données personnelles sont dans tous les cas pénalisantes, qu’elles donnent lieu à des amendes, des pertes financières lourdes ou une détérioration de la relation de confiance établie avec les clients. Elles sont déstabilisantes et peuvent mettre une entreprise en bien mauvaise posture.
Malgré le risque, les RSSI peinent toujours à justifier leurs demandes d’allocations budgétaires en cybersécurité. Plusieurs raisons expliquent ce phénomène, à commencer par le fait que ce budget est le plus souvent déduit du budget informatique global, destiné en priorité à la transformation numérique de l’entreprise ou son passage au cloud, par exemple. Une autre raison prévaut cependant : un RSSI n’est jamais en mesure de garantir une protection à 100% contre les menaces.
Si l’on se place du côté de l’entreprise et de son directeur, cela n’est pas dénué de bon sens. Sachant qu’il se focalise sur son chiffre d’affaires, pourquoi allouer du budget pour combattre un ennemi qui parvient apparemment toujours à ses fins ? Dès lors, il semble plus judicieux aux dirigeants d’investir dans les domaines où la mise rapportera à coup sûr.
Lutter contre la fatalité pour mitiger le risque
Selon les résultats de l'enquête Kaspersky, près de neuf RSSI sur dix (86%) sont persuadés que les brèches sont une fatalité. Et pour cause, les entreprises sont de plus en plus exposées. La transformation numérique a agrandi de manière significative la surface d’attaque possible, donnant aux cybercriminels davantage de possibilités pour trouver des failles, s’introduire dans les systèmes et exploiter des données ou les faire fuiter à l’extérieur. L’adoption du Cloud, la mobilité croissante des collaborateurs et l’essor de l’utilisation des canaux digitaux, sont autant de vecteurs qui participent à accroître les risques.
Les RSSI doivent également prendre en compte d’autres facteurs, notamment celui d’une menace venant de l’intérieur, à la suite d’un acte de malveillance ou simplement d’une erreur de manipulation d’un salarié. Ce type de menace est particulièrement délicat à repérer pour réagir de manière proactive. C’est d’ailleurs le type de scénario que redoutent le plus les RSSI.
Se poser les bonnes questions pour prendre les bonnes décisions
Si les probabilités d’attaques sont réelles et en augmentation, le cœur du problème se situe ailleurs : une entreprise est-elle ou non capable de détecter une attaque assez vite pour réagir de manière adéquate et suffisante afin de minimiser ses effets ?
En d’autres termes, il apparaît de plus en plus évident que les entreprises ne peuvent pas vivre uniquement avec une politique de prévention seule. Il convient de changer d’état d’esprit, car cette approche est dépassée et plus en phase avec le mode de fonctionnement actuel des entreprises. La détection et la réactivité doivent désormais être de mise dans le cas d’attaques ciblées et très élaborées.
L’heure est venue de convaincre les dirigeants d’entreprises de l’importance d’investir dans la cybersécurité et de la valeur d’une telle politique. Il ne s’agit pas de garantir une prévention des incidents efficace à 100%, mais de compliquer la tâche de ceux qui veulent attaquer. L’objectif est qu’un piratage devienne trop onéreux et complexe, afin de les dissuader d’entreprendre une quelconque action de malveillance.
Surtout, l’équipe chargée de la sécurité d’une entreprise doit être prête à réagir sur le champ en présence d’une tentative d’intrusion sur son réseau. Une brèche de moyenne envergure peut coûter à une grande entreprise jusqu’à 1,23 million de dollars. En prenant les mesures ad hoc, cette facture salée chutera du tout au tout pour atteindre une somme dérisoire, voire nulle.
Cette stratégie a donc tout l’air d’être la voie de la sagesse.