Toutes les organisations, qu’elles soient publiques ou privées, sont confrontées à la croissance des risques cybercriminels. Les institutions et les entreprises ont déjà connaissance de ces questions, mais ne sont pas encore parfaitement préparées. La croissance des objets connectés et l’exploitation des big data viendront intensifier ce risque. Face à ces menaces, le Responsable de la sécurité des systèmes d’information est en première ligne pour défendre l’entreprise.
Il y a tout juste un mois, nous apprenions qu’une grande banque européenne était victime d’un détournement de fonds : un cheval de Troie a permis de vider les comptes d’environ 190 clients. Montant du butin : 500 000 euros. Aussi impressionnant que puisse être ce « casse » d’un genre nouveau, les acteurs bancaires ne sont pas les seules cibles des cybercriminels : le vol de données peut se révéler tout aussi précieux.
Rappelons que toute entreprise, quelles que soient sa taille et son activité, collecte et traite des données à caractère personnel relatives aux employés ou aux clients. Selon les dispositions de la loi Informatique et Libertés, « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Prendre la dimension de la menace
La protection des données est avant tout une question de prévention plus que de réaction. Les entreprises y sont de plus en plus sensibilisées, elles ont pris conscience qu’elles doivent accroître leur cyberdéfense en comprenant et en anticipant les menaces pour préparer une réponse appropriée.
Un des enjeux pour les CSO reste l’assignation d’un budget précis afin de dimensionner correctement les équipes chargées des activités de veille et de protection ainsi que les moyens techniques nécessaires à une bonne surveillance des systèmes d’information. Cette nécessaire gestion des risques va logiquement s’accompagner d’une augmentation des dépenses liées à la sécurité informatique. Ces investissements croissants sont indispensables au regard des montants induits par les préjudices d’une cyberattaque – perte de données, de propriété intellectuelle, atteinte à la réputation, frais de recouvrement – et vont continuer d’augmenter.
Traiter les risques de sécurité au travers de stratégies adaptées
De plus en plus d’entreprises externalisent leur système d’information pour s’affranchir de sa gestion et optimiser la gestion des ressources informatiques, techniques ou humaines. Le choix du prestataire est dans ce cas décisif pour la sécurité des données, mais il s’agit aussi de faire des choix d’externalisation éclairés : une priorisation de l’information doit être réalisée, en procédant à une analyse et à des classifications et des évaluations d’impacts. Ce sont des décisions stratégiques : l’entreprise devra accepter de vivre avec le risque de corruption ou de vol des données externalisées. Le CSO, dans ce cas, joue un rôle important dans le dialogue, le conseil et la sensibilisation des directions métiers aux risques induits par le fait de confier ses données à des tiers.
Si la première source d’attaque demeure externe, près d’un tiers des incidents de sécurité émane de l’interne. La sensibilisation des employés est primordiale, impliquant la mise en place de dispositifs de communication et de formation appropriés. Dans certaines professions, les salariés sont amenés à continuer leur mission depuis leur portable professionnel lors de déplacements ou chez eux. Le CSO doit donc envisager des solutions adaptées selon les fonctions et les modes de travail. De plus, les personnes exerçant des fonctions stratégiques sont davantage exposées aux tentatives de fraudes, de vol ou de corruption : elles doivent faire l’objet d’une sensibilisation supplémentaire et d’un accompagnement accru.
Enfin, une cyberattaque met forcément en péril l’image de marque, d’autant plus pour les entreprises dont les revenus sont basés sur la confidentialité ou l’infaillibilité, comme les banques et les assurances Le CSO doit mettre en œuvre une organisation de crise cyber et des ressources adaptées, afin d’être en mesure de réagir rapidement et d’en minimiser les impacts tant sur le fonctionnement de l’entreprise que sur sa réputation.
Comme on le constate, les enjeux de sécurité qui sont confiés aux RSSI sont si importants pour l’entreprise qu’ils nécessitent d’être étudiés par les instances stratégiques de l’entreprise et développés en collaboration avec les métiers de la DSI.
Si vous êtes intéressés par les sujets liés aux risques informatiques et à la cybercriminalité, n’hésitez pas à me contacter.
Cet article Le Chief Security Officer, un rempart contre les menaces de cybercriminalité est apparu en premier sur D.Views.