Télécharger
Partager
Stefano Pelagatti
Responsable organisation & Directeur des TIC, BPS (Suisse)

Pourquoi une stratégie de cybersécurité réactive ne suffit plus au sein de votre organisation

Au premier semestre 2017, 918 violations de données ont été signalées dans le monde entier, soit en moyenne une violation de données par jour1. D'importantes multinationales comme Equifax, devenue la plus grande faille de données en 20172 et Facebook, qui a subi une violation de données de 87 millions d'utilisateurs via un test de personnalité3, jusqu'au piratage de la Banque centrale européenne4, aucune organisation ne semble à l'abri des risques liés à la cybersécurité. La cybersécurité et la confidentialité des données doivent être une priorité absolue pour toute organisation dans le monde. Selon Gartner, la sécurité des clouds devenant une priorité pour les organisations, l'attention doit passer de la protection et de la prévention à la détection, à la réponse et à la correction, un débouché qui entraîne des changements dans la gestion de la sécurité5.

Avec la récente entrée en vigueur du RGPD, le coût de ces violations est maintenant considérablement amplifié, à la fois dans son extension à des organisations au-delà des frontières de l'Europe et en termes de coûts monétaires.

Il est maintenant plus essentiel que jamais que les organisations européennes, à la fois la C-Suite et le conseil d'administration, comprennent comment détecter correctement et répondre à ces cybermenaces de plus en plus menaçantes et coûteuses.


Le paysage de la cybersécurité de plus en plus menacé

Dans le paysage de la cybersécurité et de la confidentialité des données, l'Europe fait face à ses propres défis. Selon l'Agence européenne chargée de la sécurité des réseaux et de l'information (AESRI), la complexité des cyberattaques augmente, les attaquants devenant beaucoup plus difficiles à suivre. Cela est particulièrement vrai à la lumière de l'anonymat fourni par les monnaies numériques et d'autres infrastructures qui offrent le chiffrement et l'évasion de détection. Comme dans le cas des attaques par rançongiciel de HSBC, ces hackers6, dont beaucoup sont des acteurs sponsorisés par l'Etat, sont principalement motivés par des moyens monétaires7.

La principale menace pour les organisations européennes en 2017 était les logiciels malveillants. Bien que la fréquence des attaques de logiciels malveillants mobiles ait diminué, passant de 1,5 million au troisième trimestre 2016 à 1,3 million au premier et au deuxième trimestre 2017, les experts signalent que ces attaques sont devenues plus sophistiquées, ce qui se traduit par plus de dégâts. Par exemple, les logiciels malveillants se propagent maintenant aux systèmes d'exploitation Mac et Linux et peuvent maintenant se propager sans avoir besoin d'une action de l'utilisateur8. Des logiciels malveillants sans fichier ont été détectés dans les banques d'Europe de l'Est, qui ont réussi à éviter la détection9. Les organisations européennes, en particulier celles du secteur financier, ont répondu non seulement avec des équipes de sécurité au sein de l'organisation, mais avec des équipes externes amenées à tester leur efficacité contre les piratages10.

Les attaques basées sur le Web et les applications Web étaient les deuxième et troisième menaces les plus courantes, suivies par le phishing, bien que l'hameçonnage ait dépassé le courriel pour inclure les médias sociaux et les SMS (smishing) et les communications vocales (vishing)11. Selon le rapport de l'ENISA, toutes ces menaces étaient en augmentation à partir de l'année dernière.

Puisque les violations de données ne cesseront pas de sitôt, comment les organisations peuvent-elles atténuer ces cybermenaces ?


Les leçons difficiles qu’UniCredit SpA et Sony PlayStation ont appris

Le secteur privé européen, et les banques en particulier, ont malheureusement compris la façon d'atténuer la violation de données par l'expérience. La principale banque italienne, UniCredit SpA, a subi l'une des plus importantes violations de données de sécurité bancaire européenne l'année dernière, obtenant un accès non autorisé aux données de plus de 400 000 comptes clients par l'intermédiaire d'un fournisseur tiers12

Leur réponse a été de mettre à jour rapidement leur système informatique en y allouant plus de 2,3 milliards d'euros. En plus de la réponse, ils ont pu se rendre compte que la violation s'est produite suite à un changement de gestion13. Cela souligne l'importance d'avoir une stratégie cohérente de données et de sécurité en place à tout moment. Bien qu'UniCredit n'ait subi aucun préjudice financier14, d'autres organisations n'ont pas eu autant de chance. Le réseau PlayStation Network de Sony a fait pirater plus de 102 millions de comptes en 2011, ce qui a entraîné des poursuites collectives de 15 millions de dollars à titre de règlement préliminaire15. C'était l'une des pires violations de données dans l'histoire du piratage16.

En plus de réorganiser les systèmes informatiques, des réglementations plus strictes ont semblé entraîner moins de violations de données, du moins en Europe. Les pays européens, qui ont récemment imposé de nouvelles exigences réglementaires, ont vu une réduction de 26% du coût total d'une violation de données en 2017 par rapport à l'année précédente, signalant seulement 49 violations en 201717. Pendant ce temps, le coût moyen d'une violation augmentait de 5% cette année, à 7,35 millions de dollars18. À l'avenir, ces chiffres augmenteront : les réglementations RGPD infligeront des amendes aux organisations qui ne signalent pas les violations de données personnelles dans un délai de 72 heures, jusqu'à concurrence de 2% du chiffre d'affaires annuel global (10 millions d'euros). Cela pourrait même s'appliquer rétroactivement19.


La C-Suite communique de manière efficace sur la gestion de la confidentialité des données

"Les conseils s'intéressent de plus en plus à la sécurité et à la gestion des risques, mais il y a souvent un décalage entre ce que le conseil doit savoir et ce que les dirigeants de la sécurité et de la gestion des risques sont capables de transmettre.- Rob McMillan, directeur de recherche, Gartner


En fin de compte, le PDG est tenu d’informer le conseil d'administration de la gestion et de la mise en œuvre de la stratégie de cybersécurité au niveau organisationnel. D'une part, un PDG se tourne vers les technologies de l'information (TI) ou, dans les grandes organisations, un responsable de la sécurité des systèmes de l'information (RSSI) pour lui fournir l'information et les ressources nécessaires pour gérer efficacement ces risques. Ces parties doivent souvent se coordonner avec le conseil, le comité de vérification et le comité de gestion des risques pour lui fournir cette information.

Le défi du PDG est de synchroniser les différentes compétences en gestion, les communications, la gestion de projet et les responsabilités nécessaires pour recueillir efficacement l'information dont il a besoin pour établir son rapport et le présenter au conseil d'administration. D'autre part, les RSSI doivent rarement se coordonner avec un conseil d'administration et des comités pour fournir des informations pertinentes sur les meilleures pratiques en matière de sécurité de l'information et sur les tendances importantes en matière de piratage et de défense20. Un système et un processus de communication claire entre un certain nombre de parties différentes sont donc essentiels à la stratégie de cybersécurité de l'organisation21.

Un autre facteur qu'une organisation devra prendre en compte est le rôle du département informatique dans la stratégie de cybersécurité. Il est important de faire la distinction entre la responsabilité de la technologie de l'information et la cybersécurité et la gestion des risques, puisque les informaticiens sont généralement responsables des détails techniques plutôt que stratégiques. La gestion de la cybermenace implique également de garder les informations hors de portée des fournisseurs et autres tiers, y compris des experts juridiques, ce qui dépasse la portée de la responsabilité du service informatique, selon Denton22. En revanche, limiter la surveillance de la cybersécurité au service informatique peut restreindre le budget, l'influence et l'autorité nécessaires à une gestion efficace des risques et de la sécurité, ce qui met l'ensemble de l'entreprise en péril, poursuit le même rapport23.

Après tout, le chef du service informatique ne relève généralement pas de la haute direction. Plutôt que la responsabilité du budget ou de la gestion des risques stratégiques, le rôle des informaticiens est de pouvoir évaluer les risques d'un point de vue technique et de les signaler au conseil de cybersécurité ou à des entités similaires au sein d'une organisation. Tout revient à la direction de la cybersécurité pour les dirigeants et à la surveillance efficace du conseil.

Il est donc essentiel que les responsables de la sécurité des systèmes d'information ou les directeurs de la sécurité de l'information présentent les risques potentiels et les plans d'intervention aux conseils d'administration, au PDG et aux autres membres de la haute direction. Pour ce faire, ils ont besoin des outils numériques pour communiquer efficacement la valeur de leur travail, leurs suggestions / recommandations par rapport à une future stratégie de cybersécurité et les résultats mesurés. Une hiérarchisation efficace des risques devrait classer les risques du plus probable au moins - et ce qui serait lésé - devrait avoir un plan d'action qui implique de décider sur quel risque se concentrer. Rappelez-vous qu'en fin de compte, le PDG, de concert avec l'ensemble de la haute direction et du conseil d'administration, doit accepter la stratégie de cybersécurité pour l'ensemble de l'organisation24.

Selon Deloitte25 l'importance d'une communication claire entre les équipes ne peut être sous-estimée. De nombreux membres du conseil d'administration, bien informés sur la cybersécurité, par exemple, font état d'une confiance totale dans leur haute direction pour faire face à la crise. Cependant, d'autres preuves révèlent un écart important entre la connaissance de ces menaces et la capacité de les gérer réellement26.

C'est pourquoi il est essentiel non seulement que les responsables de la sécurité de l'information collaborent efficacement avec la haute direction, mais aussi que les conseils d'administration communiquent efficacement avec l'ensemble de la haute direction. Les conseils d'administration doivent tenir la haute direction responsable d'une stratégie de cybersécurité claire, qui nécessite un dialogue régulier entre le conseil et la direction et le partage d'informations et de mesures qui suivent la gestion et la performance du cyber risque27. Si votre organisation ne le fait pas déjà, elle n'aura plus longtemps le choix. Gartner signale que d'ici 2020, 100% des grandes entreprises seront invitées à faire un rapport à leur conseil d'administration sur la cybersécurité et sur la gestion des cyber risques au moins une fois par an28.


La cybersécurité comme impératif stratégique pour les conseils d'administration et les hautes directions

Avec des amendes pouvant aller jusqu'à 2% du chiffre d'affaires annuel global (10 millions d'euros étant le montant le plus élevé enregistré), la conformité aux réglementations RGPD et européennes est essentielle pour la gestion du cyber risque au sein de toute organisation européenne29. Au-delà des pirates informatiques et des logiciels malveillants, la sécurité des infrastructures inclut également le contrôle et l'audit, la protection des données et la sécurité des services mobiles, autant d'éléments essentiels dans le cadre de la cybersécurité. Avec autant d'éléments différents en jeu, il est crucial d'évaluer efficacement la gestion des cyber risques.

Les membres du comité de cybersécurité devraient être capables de poser et de répondre aux questions suivantes30:

  • Comment l'entreprise peut-elle mieux comprendre et évaluer les risques liés à la sécurité et aux cyber risques ?
  • L'entreprise dispose-t-elle des techniques de défense nécessaires à la prévention des attaques ?
  • Quelles sont les mesures prises pour assurer un suivi adéquat des risques potentiels ?
  • Quelles sont les politiques et procédures en cas de cybermenace et / ou d'attaque ?
  • L'entreprise a-t-elle un plan d'action ?
  • Comment et quand répète-t-elle le plan pour s'assurer qu'il fonctionne correctement ?
  • Qui dans l'entreprise est responsable, et que doivent-ils faire en cas d'événement risqué ?
  • Les employés - de la haute direction aux niveaux inférieurs de l'organisation - sont-ils informés des risques potentiels et comment doivent-ils réagir en situation de péril ?
  • Les fournisseurs externes de l'entreprise sont-ils totalement fiables en termes de sécurité et de protection des données ?


Dans le paysage dynamique de la cybersécurité, les réponses à ces questions sont cruciales. Chacune de ces questions doit pouvoir obtenir facilement et rapidement une réponse.

De plus, lorsque vous envisagez de recourir à des fournisseurs externes, comme par exemple, une solution numérique pour les réunions de direction et de conseil, les directeurs et les conseils doivent avant tout prendre en considération la nécessité de protéger leurs données selon les normes de sécurité les plus strictes. Non seulement l'outil doit être conforme aux réglementations européennes, comme le règlement général sur la protection des données, également connu sous le nom de RGPD, mais il doit également assurer une sécurité solide de l'infrastructure et des processus d'audit et de contrôle. Toutes ces fonctionnalités doivent être associées à la capacité de l'outil à assurer une gestion optimale des réunions C-Level et des réunions du conseil d'administration, et à assurer une collaboration efficace au sein de l'organisation.


Suivre le rythme du paysage de la cybersécurité

En fin de compte, bien que les pirates informatiques en ligne, les logiciels malveillants et les autres menaces de sécurité et de cybersécurité semblent évoluer de plus en plus rapidement, de nombreuses organisations ne suivent pas le rythme. Ceci est en partie dû à la nécessité d'une coordination humaine entre les organisations, ce qui nécessite une gestion minutieuse du temps et des ressources, mais aussi en raison d'informations limitées sur les sujets de sécurité et de cybersécurité. Selon Deloitte, un cinquième des membres du cyberconseil affirment n'avoir aucun manuel de gestion de crise sur le risque cybernétique ; pourtant, un tiers ne sait même pas s'ils en ont un31. Mais il existe une voie plus proactive que les organisations peuvent prendre bien avant qu'une attaque ne se produise. Cette solution proactive réside dans une discussion continue avec des réunions régulières entre la haute direction et les conseils d'administration pour assurer la préparation à tout moment32.

Jusqu'à ce que les organisations rattrapent leur retard en mettant soigneusement en œuvre une stratégie de cyber risque et planifient une stratégie incluant la détection, la prévention et la gestion de crise, les menaces de cybersécurité continueront de coûter cher aux organisations dans les années à venir.

 


1. Leyden, John. More data lost or stolen in first half of 2017 than the whole of last year. The Register. September 20, 2017.
2. Whittaker, Zack. Equifax says more private data was stolen in 2017 breach than first revealed. ZDNet. February 12, 2018.
3. Badshah, Nadeem. Facebook to contact 87 million users affected by data breach. The Guardian. April 8, 2018.
4. Honan, Brian. European Central Bank Hacked. CSO. July 31, 2015.
5. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
6. Schwartz, Matthew. Hackers Release Info from Swiss Bank. BankInfo Security. January 12, 2015.
7. ENISA Threat Landscape Report 2017: 15 Top Cyber-Threats and Trends.
8. Ibid, p. 25
9. “Designed for deletion: APTs harness wipers and fileless malware in targeted attacks.” Kaspersky website. April 27, 2017.
10. Ibid, p 27.
11. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
12. Sirletti, Sonia and Robinson, Edward. Hackers Breach 400,000 UniCredit Bank Accounts for Data. Bloomberg. July 26, 2017.
13. Arnold, Martin. UniCredit reveals data breach affecting 400,000 customers. Financial Times. July 26, 2017.
14. Sirletti, Sonia. Italy’s UniCredit Reveals Massive Data Breach Involving 400,000 Bank Accounts. Insurance Journal. July 26, 2017.
15. Armerding, Taylor. The 17 biggest data breaches of the 21st century. CSO. January 26, 2018.
16. Takahashi, Dean. Surprise: Sony faces class action lawsuit on PlayStation Network breach. Venturebeat. April 27, 2011.
17. Leyden, John. More data lost or stolen in the first half of 2017 than the whole of last year. The Register. September 20, 2017.
18. Rayome, Alison DeNisco. Data breach costs are dropping but still $3.62 million on average, report says. TechRepublic. June 20, 2017.
19. Montalbano, Elizabeth. Report: EU may slap new GDPR Fines on Old Data Breaches. Security Ledger. April 12, 2018.
20. Cohan, Peter S. Why (& How) CISOs Should Talk to Company Boards. Dark Reading. April 25, 2017.
21. A cybersecurity guide for directors. Dentons.
22. A cybersecurity guide for directors. Dentons.
23. A cybersecurity guide for directors. Dentons.
24. A cybersecurity guide for directors. Dentons.
25. A Crisis of Confidence. Deloitte.
26. A Crisis of Confidence. Deloitte.
27. A cybersecurity guide for directors. Dentons.
28. Walls, Andrew. Leading Enterprise Security & Risk. Gartner.
29. Trentmann, Nina. Data Breaches Will Soon cost Companies in Europe. The Wall Street Journal. November 22, 2017.
30. Taking the lead on cyber risk. Deloitte.
31. A Crisis of Confidence. Deloitte.
32. A cybersecurity guide for directors. Dentons.

Stefano Pelagatti
Responsable organisation & Directeur des TIC, BPS (Suisse)
Stefano Pelagatti a rejoint BPS (Suisse) en 2008 et est actuellement responsable des technologies de l'organisation et de la communication de cette prestigieuse banque. Sa vaste expérience professionnelle comprend plusieurs postes importants dans les secteurs de la banque et des technologies de l'information, dont celui de directeur général et associé chez MTF, administrateur de Banca del Gottardo et, de 1978 à 1997, directeur adjoint chez UBS SA.

BPS (Suisse) a été fondée en 1995 et est basée à Lugano en Suisse. Actuellement, la banque est représentée par ses 20 unités réparties dans 7 cantons, avec une succursale à Monte-Carlo, et est détenue par la Banca Popolare di Sondrio.

Connaissances et Ressources

facebooktwittergoogle-plus2linkedin2envelopsearch

Connaissances et Ressources

Sherpany présente des actualités d'entreprise, des articles d'experts, des entrevues exclusives, des études de cas et des pratiques exemplaires sur la numérisation et la transformation de la culture des réunions du conseil d'administration, des cadres supérieurs, des secrétaires généraux et des conseils généraux.

Voici quelques exemples de ressources d'information :

  • Portails web et logiciels de gestion de réunion
  • Numérisation et réunions virtuelles
  • Gestion et conformité
  • Leadership efficace

La newsletter non è al momento disponibile in italiano, La preghiamo di iscriversi ad una delle seguenti lingue: