De nos jours, la gestion des risques cybernétiques doit être intégrée au même niveau que les autres risques au sein des entreprises. Les responsables de la sécurité des systèmes d’information (RSSI) et/ou les directeurs des systèmes d’information (DSI) sont de plus en plus présents au sein des conseils d’administration. Cependant, il est essentiel que tous les administrateurs comprennent l’impact des risques liés à la cybersécurité lorsqu’ils prennent des décisions stratégiques.
Sous-estimer la nature de la cybersécurité dans le contexte professionnel actuel peut entraîner des conséquences désastreuses. Une préparation et une planification adéquates au niveau du conseil d’administration sont nécessaires non seulement pour protéger l’entreprise, mais aussi pour sécuriser les dirigeants et les administrateurs en cas d’attaque. Ils doivent être en mesure de démontrer qu’ils ont mis en œuvre toutes les mesures nécessaires pour garantir la sécurité de l’entreprise.
Bien que les informations sur la cybersécurité soient abondantes, la plupart d’entre elles sont destinées à un public averti et sont rarement pertinentes pour les décideurs de haut niveau. Afin d’aider les administrateurs dans leur gestion des risques cybernétiques, voici six idées fausses auxquelles ils doivent prêter une attention particulière.
La cybersécurité ne concerne que certaines entreprises
Une fausse croyance fréquente est que l’élaboration d’une politique de sécurité ne concerne que les grandes entreprises, les entreprises technologiques, celles du secteur de la santé ou celles stockant des données sensibles sur les clients (PII). En réalité, toutes les entreprises doivent mettre en place des mesures de sécurité pour se prémunir contre les attaques potentielles. Les attaquants ciblent opportunistement toutes les entreprises ayant des données ou des systèmes exploitables. Même celles qui ne stockent pas de données sensibles peuvent être vulnérables si elles ne sont pas correctement protégées. Les conséquences peuvent être la perte financière, la réputation ternie et d’autres conclusions néfastes, indépendamment de la taille ou du secteur d’activité de l’entreprise.
Exemple : l’incident de piratage subi par la chaîne de supermarchés français E.Leclerc en 2020.
Les logiciels de sécurité suffisent pour protéger une entreprise
Bien qu’il existe de nombreuses solutions de cybersécurité, telles que les pare-feu, les outils SIEM et SOAR, et les antivirus, les récentes années ont montré qu’elles ne sont pas suffisantes pour une protection complète. Dans l’environnement de travail hybride actuel, où les employés ont plus de liberté pour installer des logiciels et accéder aux ressources de l’entreprise, la protection ne peut pas se limiter à ces outils traditionnels. La cybersécurité évolue constamment, nécessitant des capacités de protection agiles qui s’alignent sur les nouvelles menaces.
Les vulnérabilités logicielles ne sont pas un problème majeur
Chaque logiciel utilisé par une entreprise peut introduire des vulnérabilités facilitant les intrusions. Des exemples notables incluent les vulnérabilités Follina (CVE-2022-30190) et Log4Shell (CVE-2021-44228). Les vulnérabilités du système d’exploitation sont également un risque significatif. Les conseils d’administration doivent comprendre qu’un grand nombre de correctifs ne garantit pas une sécurité optimale. Une approche holistique de la sécurité, avec des experts, est nécessaire.
Les logiciels de sécurité suffisent pour protéger une entreprise
Chaque logiciel utilisé par une entreprise peut introduire des vulnérabilités facilitant les intrusions. Des exemples notables incluent les vulnérabilités Follina (CVE-2022-30190) et Log4Shell (CVE-2021-44228). Les vulnérabilités du système d’exploitation sont également un risque significatif. Les conseils d’administration doivent comprendre qu’un grand nombre de correctifs ne garantit pas une sécurité optimale. Une approche holistique de la sécurité, avec des experts, est nécessaire.
Les attaques contre la chaîne logistique ne sont pas à craindre
Même si une entreprise sécurise ses propres logiciels, un fournisseur de services tiers peut involontairement faciliter les accès non autorisés. Les attaques récentes contre SolarWinds et Kaseya en sont des exemples. Une stratégie efficace implique une solution de sécurité adaptée, un plan de réponse aux incidents, des politiques d’intégrité des applications et une culture de cybersécurité.
Rien ne peut être fait contre les menaces de cybersécurité
Bien que certaines menaces échappent au contrôle, des mesures robustes peuvent réduire le risque d’attaques. Même si toutes les attaques ne peuvent être évitées, des mesures peuvent protéger contre les plus prévisibles, puisque la plupart des cybercriminels sont motivés par le profit.
Il est impossible de former les employés à la cybersécurité
Les employés sont essentiels à la stratégie de cybersécurité, mais ils ne doivent pas être des experts. La formation régulière et la sensibilisation aux menaces, comme le phishing, sont nécessaires. Les employés sont une ligne de défense et doivent se sentir en confiance pour signaler des activités suspectes.
Conclusion
En somme, il est impératif de reconnaître que la cybersécurité ne peut plus être considérée comme un simple aspect technique au sein des entreprises. Les enjeux liés à la protection des données et à la préservation de la confiance des clients, des partenaires et des parties prenantes sont devenus des défis stratégiques cruciaux. Les récents développements dans le domaine de la cybersécurité ont montré que les attaques sont de plus en plus sophistiquées et ciblées, visant souvent des vulnérabilités humaines tout autant que techniques.