Un regard sur les tendances technologiques a suscité une plus grande prise de conscience en matière de sécurité et a révélé un manque d’efficacité.
Au cours des deux dernières années, le monde des affaires a dû s’adapter à divers changements et continue encore aujourd’hui de s’adapter à une nouvelle normalité, à savoir la convergence des univers virtuels, physiques et numériques de l’entreprise. La transformation numérique, la migration vers le cloud, la mise en place d’un modèle de travail hybride et le cadre réglementaire toujours plus important et parfois contradictoire ont été des faits marquants de ces deux dernières années et auront également une grande importance dans les trois années à venir, sans oublier l’automatisation massive de tous les éléments de la vie de l’entreprise. De plus, toute forme d’innovation technologique est rapidement adoptée par l’entreprise pour renforcer son avantage concurrentiel.
En ce qui concerne la sécurité des données, en théorie, les cadres supérieurs (C-level) ont pris conscience de son importance et la considèrent comme un composant clé de la résilience opérationnelle. Les dirigeants présentent donc leurs projets d’amélioration de la cyber-résilience de leur organisation en renforçant la résilience, les politiques opérationnelles, les processus et les normes en matière de gestion des relations avec les tierces parties. Malgré la prise de conscience collective et la hausse des budgets consacrés à la sécurité des données, le nombre de brèches de sécurité réussies et le nombre de failles ont augmenté de manière exponentielle.
Les menaces qui inquiètent le plus les PDG et l’impact qu’elles pourraient avoir sur leur société au cours des 12 prochains mois sont révélateurs de la pression exercée sur les dirigeants pour obtenir des résultats exceptionnels. Tout comme l’année dernière, les PDG s’inquiètent surtout des cyber-risques (49 %) et de la situation sanitaire mondiale (48 %) en raison de la pandémie persistante. (PwC, 25th Annual Global CEO Survey – 25ème enquête mondiale annuelle auprès des PDG).
Le déni de service (DoS) est le risque le plus important, représentant 46% du nombre total d’incidents. À la deuxième place, on trouve les logiciels malveillants. En ce qui concerne les brèches, le classement est un peu plus dynamique, et inclut, aux cinq premières positions, l’utilisation de données volées, les rançongiciels et l’hameçonnage. En termes de vecteurs, il faut noter que les principaux moyens par lesquels votre entreprise est exposée à Internet sont les principaux moyens par lesquels votre entreprise est exposée aux malfaiteurs.
Les applications web et l’e-mail sont les deux principaux vecteurs de violation. (Verizon, 2022 Data Breach Investigations Report – Rapport d’enquête sur les brèches de données). Au-delà de l’analyse statistique et des conclusions pertinentes, dans la pratique, il s’avère que seuls 40 % des répondants déclarent avoir pleinement atténué les risques susmentionnés, alors que les efforts se concentrent sur le travail à distance (38 %) et la transition vers le cloud (35 %). (source : CompTIA State of Cybersecurity 2022).
Derrière les statistiques et les tendances
En analysant les statistiques et les tendances et en essayant d’identifier les principales causes de l’incapacité à atteindre le niveau requis de sécurité des données, nous avons conclu que l’inefficacité est imputable à une perception erronée des principes fondamentaux de la sécurité des données. Voici quelques-uns des principaux pièges et/ou idées reçues concernant la mise en œuvre des dispositifs de sécurité des données.
Commençons par le sommet de l’entreprise : les cadres supérieurs (C-level) sont souvent trop confiants quant au niveau de sécurité des données de l’organisation qu’ils représentent. Cela s’explique par a) l’absence de véritables indicateurs d’efficacité, b) le fait qu’il n’y ait pas encore eu de brèche de sécurité réussie et c) la méconnaissance de la véritable signification de la certification ISMS (système de gestion de la sécurité des données – ISO 27001).
Qui plus est, de nombreux responsables de la sécurité des données affirment encore aujourd’hui que personne ne les consulte avant de prendre des décisions opérationnelles, ce qui se traduit par des décisions posant un risque plus important et des problèmes de sécurité plus fréquents. Ce manque de concertation entre les différents responsables peut rendre les entreprises vulnérables aux attaques en raison de priorités incohérentes en matière de sécurité et de l’absence de mise en œuvre des mesures nécessaires.
La gestion des risques liés aux tiers est un autre sujet qui retient l’attention dans le monde des affaires en raison de la forte dépendance de ces parties tierces, notamment en matière de technologie et de communication. En ce qui concerne la sécurité des données et l’infrastructure numérique associées à la chaîne d’approvisionnement, la plupart des organisations ont tendance à imposer leurs exigences en matière de sécurité seulement aux parties tierces les plus grandes et importantes. Les petites et moyennes entreprises (PME) sont considérées comme étant une menace majeure pour les chaînes d’approvisionnement, les réseaux de partenaires et les écosystèmes, du fait qu’elles ne mettent pas en place de mesures de sécurité suffisantes en raison de restrictions budgétaires.
Un autre piège concerne l’utilisation des tests d’intrusion comme seule évaluation des risques à laquelle la société a recours. Les tests d’intrusion devraient s’inscrire dans un cadre plus large de gestion des risques et devraient être effectués sur la base de scénarios prédéfinis. Une gestion efficace des risques nécessite le recours à différents types de tests qui permettent d’évaluer l’efficacité et la solidité des mesures technologiques et de gestion mises en place. Les exercices de « red team » basés sur des scénarios doivent également faire partie du plan annuel d’évaluation des risques.
Une idée reçue récente concerne l’adoption de l’architecture de confiance zéro (ZTA). L’architecture de confiance zéro est un concept qui fait l’objet de nombreux débats, en particulier parmi les fournisseurs de solutions de cybersécurité. La confiance zéro n’est pas un concept nouveau, elle fait partie des principes fondamentaux de la sécurité des données en exigeant que chaque utilisateur, appareil et connexion soit authentifié avant de se voir accorder l’accès au réseau de votre entreprise et à ses données les plus précieuses et les plus sensibles. La confiance zéro n’est pas un produit ou un acte unique, c’est une philosophie qui ne se limite pas à des solutions individuelles et qui n’est pas reliée à une architecture spécifique.
Un autre obstacle concerne les dépenses budgétaires. La plus grande partie du budget de cybersécurité est allouée aux solutions de cybersécurité. Ce n’est pas forcément une mauvaise chose puisque ce sont les technologies qui permettent d’appliquer les politiques de sécurité des données au sein d’une organisation. Les entreprises doivent aujourd’hui considérer la cybersécurité comme un véritable impératif organisationnel, avec des technologies qui s’inscrivent dans une approche plus large de la sécurité dans un domaine particulier.
Ce qu’il faut faire pour aller de l’avant
Les enseignements de ces dernières années sont résumés comme suit : a) l’absence de mise en œuvre efficace des principes fondamentaux de la sécurité des données a conduit à une gestion inefficace des risques, b) les structures traditionnelles en matière de sécurité des données se sont révélées inefficaces, il est donc nécessaire d’intégrer des responsabilités en matière de sécurité des données à tous les rôles opérationnels et technologiques au sein d’une entreprise.
Le besoin d’une mise en œuvre efficace des principes de base de la sécurité des données est plus évident que jamais. Parallèlement, la convergence des univers numériques, physiques et virtuels des entreprises exige l’adoption d’une stratégie globale en matière de sécurité des données. Chaque entreprise doit élaborer et mettre en place une stratégie de sécurité des données en fonction de son profil de risque et des obligations de conformité qui lui sont applicables. Les risques liés à la sécurité des données doivent être identifiés de manière globale et prendre en compte les différents types de tests d’évaluation des risques.
L’efficacité exige également l’intégration des processus de sécurité des données dans les processus opérationnels concernés et dans les systèmes de gestion de l’entreprise au sens large (par exemple, la gestion des risques, la gestion des changements, la réponse aux incidents, le respect des règles). Par ailleurs, la réponse à tout type d’événement susceptible d’affecter la sécurité des données et de l’infrastructure numérique, avec pour résultat un niveau de protection inférieur au niveau requis, doit également devenir plus efficace. Ceci ne concerne pas seulement la réponse aux incidents liés à des tentatives de piratage, mais aussi la réponse aux changements organisationnels et technologiques, aux changements de modèles et de stratégies de gestion, ainsi que la réponse aux changements des menaces potentielles et aux changements sociaux et culturels, qui peuvent tous affecter la sécurité des données de l’entreprise.