Renforcer la cyber-résilience des RSSI pour les années à venir
La 30e édition de la conférence annuelle, RSA, qui s’est tenue en mai dernier, a été placée sous le signe de la « résilience » ; un thème qui s’est trouvé au cœur d’une majorité de prises de paroles à l’événement. Elle a notamment célébré la résilience dont ont fait preuve les RSSI, les responsables de la sécurité et leurs équipes en cette période de pandémie.
A l’heure où les RSSI et les hauts responsables de la sécurité se tournent vers l’avenir, cette notion de résilience demeure au premier plan des préoccupations. Ils sont en effet aux prises avec des questions complexes telles que : « Comment les opérations de cybersécurité doivent-elles évoluer pour favoriser la résilience dans ce nouveau paysage de menaces ? », « Comment puis-je maintenir la cybersécurité au centre des discussions au niveau de l’entreprise, même lorsque la période de crise sera passée ? » et « Comment la cybersécurité peut-elle devenir un facteur de transformation directement lié à la réussite de l’entreprise ? ».
2020, année de la résistance ; 2021, année de la résilience
Avec la pandémie de Covid-19, 2020 a présenté un certain nombre de défis pour les équipes IT, les directions informatiques et les équipes de sécurité. La protection des actifs, des réseaux, et des identités est devenue plus centrale que jamais lors du basculement en télétravail mondial il y a près d’un et demi.
Fin 2020, le bilan était incontestable, les cybercriminels n’ont pas manqué l’opportunité qui s’est présentée à eux et le nombre d’attaques s’est vue multiplié. Nos recherches ont d’ailleurs révélé que 97 % des responsables de la sécurité ont affirmé que les attaquants cherchent de plus en plus à dérober un ou plusieurs types d’identifiants et qu’une recrudescence des tentatives a été signalée en ce qui concerne les données personnelles (70 %) et les données et systèmes financiers (66 %). Si 2020, devait porter un nom pour les RSSI confrontés à ces défis et à la complexité qui s’est imposée à eux, ce serait “résilience”. Il s’agit aussi d’un tournant pour le RSSI de l’entreprise du futur qui a vu sept tendances clés émerger de cette situation inédite.
Réinvention du modèle de travail des entreprises
La pandémie mondiale a constitué le test le plus important à ce jour pour l’avenir du travail décentralisé. Les travailleurs à distance ont prouvé qu’ils étaient incroyablement résilients et qu’ils étaient capables de relever le défi consistant à concilier vie familiale et vie professionnelle.
Aujourd’hui, alors que de nombreuses régions du monde émergent du confinement, les RSSI bénéficient d’une occasion unique de définir une orientation stratégique en faveur de modèles de travail à distance et hybrides durables, en abandonnant les approches traditionnelles et en mettant en œuvre de nouvelles stratégies de sécurité numérique ainsi que des outils et des politiques conviviaux qui renforcent l’autonomie des travailleurs (où qu’ils se trouvent).
L’approche « zero trust » plébiscitée mais pas universelle
La valeur de cette approche basée sur le principe « ne faites confiance à rien, vérifiez tout » fait l’objet d’un large consensus. La complexité des défis qui se présentent aujourd’hui en matière de cybersécurité exige en effet une approche zero trust qui recentre le périmètre de sécurité autour des identités individuelles. Toutefois, ce n’est pas une solution universelle.
La meilleure approche pour les RSSI est en réalité d’identifier les principaux risques de sécurité de l’organisation, de s’y attaquer en premier lieu, puis d’étendre les contrôles à d’autres domaines au fil du temps. Il est tout aussi important de planifier le processus de gestion du changement et de collaborer avec les services IT et les utilisateurs finaux pour appréhender et adopter ce nouvel état d’esprit.
Penser comme un attaquant pour limiter l’impact d’une attaque
Les attaquants innovent constamment, comme l’ont démontré de nombreuses attaques perpétrées au cours des derniers mois. Lorsque l’on parle de « présomption de violation », la question qui se pose est la suivante : sommes-nous protégés même si nous avons déjà subi une attaque ? C’est là que les RSSI peuvent maintenir une longueur d’avance en adoptant l’état d’esprit d’un attaquant.
En partant du principe que toute identité dans le réseau a déjà été compromise, les équipes de sécurité peuvent alors anticiper le prochain mouvement d’un cybercriminel, en atténuer l’impact et enrayer les menaces avant qu’elles n’atteignent des actifs précieux et ne causent des dommages.
Les informations rétrospectives renforcent la résilience
L’attaque contre la supply chain de SolarWinds, survenue il y a quelques mois, a incité de nombreux RSSI à réanalyser les niveaux actuels de tolérance au risque, les efforts en matière de cybersécurité et de gestion des risques, les zones de vulnérabilité permanente, ou encore les pratiques des partenaires de la chaîne d’approvisionnement.
Les entreprises doivent plus que jamais veiller à la mise à jour de leur stratégie de réponse à incident, en s’inspirant de cadres de cybersécurité tels que celui du NIST. Ainsi, en cas d’attaque, une organisation peut s’appuyer sur ces informations rétrospectives pour tirer des enseignements, optimiser sa stratégie de réponse à incident et renforcer sa résilience.
Maîtriser la « langue des affaires », vulgariser et communiquer
Les récentes attaques qui ont fait la une des journaux ont placé la cybersécurité au cœur des impératifs opérationnels et des discussions dans les conseils d’administration. Il incombe au RSSI de s’assurer qu’elle demeure au premier plan, même en période de ralentissement des cycles d’information.
C’est pourquoi il est essentiel de pouvoir chiffrer les risques (et les mesures d’atténuation qui en découlent), de démontrer comment le programme de cybersécurité contribuera à stimuler l’activité et de faire le lien direct entre les initiatives clés et les objectifs opérationnels. Des cadres sectoriels tels que l’analyse factorielle des risques liés à l’information (Factor Analysis of Information Risk – FAIR) peuvent aider les RSSI à « démystifier » la cybersécurité et à remédier aux lacunes de communication avec les conseils d’administration et la direction.
Cependant, les discussions ne se limitent pas au conseil d’administration. Le RSSI moderne doit être capable de présenter efficacement la valeur ajoutée de la cybersécurité aux clients, aux partenaires et aux parties prenantes internes. Dans un contexte où les attaques de la chaîne d’approvisionnement numérique sont passées au crible, la nécessité d’instaurer la confiance par la transparence n’a jamais été aussi grande. Il faut pour cela réunir des compétences particulières en matière de communication, qu’elles soient dures ou douces — on ne saurait trop insister sur le pouvoir de la communication fondée sur l’empathie.
Or, il n’incombe pas aux RSSI d’assumer eux-mêmes cette charge. En collaborant activement avec les équipes de sécurité IT, ils peuvent en effet consolider leur message auprès de divers publics et briser les silos. De plus, les organisations font de plus en plus appel à des responsables de la sécurité de l’information commerciale (Business Information Security Officers – BISO) pour les aider à concrétiser le programme de sécurité et veiller à ce que les objectifs de sécurité soient traités comme des exigences opérationnelles.
Les RSSI et les responsables de la sécurité sont en quelque sorte les nouveaux héros de la transformation numérique, dont ils doivent devenir les conseillers stratégiques dès les premiers stades des initiatives. Cela permet d’accélérer l’innovation tout en assurant une meilleure protection. Comme l’a déclaré Steve Wozniak dans son discours de clôture de la Conférence RSA, la période est plus propice que jamais pour permettre aux RSSI et responsables de sécurité de se concentrer sur le côté lumineux de la résilience – celui de l’innovation et de la réinvention.
Retrouvez la publication originale par Ketty Cassamajor sur IT for Business.