Il faut faire de la gestion du cyber-risque une priorité dans les entreprises !
L’actualité nous rappelle régulièrement que les cyber-risques constituent un défi de plus en plus inquiétant pour les entrepreneurs belges. Une des plus grandes cyberattaques au monde a eu lieu en ce mois de mai 2017 avec le ransomware WannaCry/WannaCrypt. Elle a touché le monde entier. Des entreprises en Belgique ont, elles aussi reçu la demande de rançon : payer ou perdre définitivement toutes leurs données. Elle a fait plus de 200.000 victimes dans plus de 150 pays dont la Belgique. Il existe pourtant des solutions pour se prémunir contre les cyber-risques.
“En matière de cybersécurité, le risque zéro n’existe pas” nous explique Kris Vansteenwegen, Head of Security LifeCycle Services chez NRB. « Il faut donc mettre en place tout un système de gestion du risque pour limiter au maximum les problèmes qu’on a pu voir dans l’actualité récemment ». En effet, la gestion du cyber-risque passe par toute une série d’étapes qui permettront à l’entreprise de connaitre d’une part mais également de réagir de manière adéquate aux diverses menaces qui existent actuellement.. D’où viennent ces menaces ? Tout simplement d’un logiciel devenu obsolète (Windows XP par exemple), d’une nouvelle technologie, d’un programme pas encore mis à jour et, même dans ce cas, « Chaque mise à jour d’un programme pour contrer une faille de sécurité peut amener une nouvelle faille de sécurité qu’il faudra corriger par la suite » selon Kris Vansteenwegen.
L’univers digital n’est pas un long fleuve tranquille. Il faut tout d’abord bien identifier les risques auxquels on est exposé. Cela passe notamment par une procédure bien rodée : « Pour connaître les risques, il faut commencer par faire un Risk Assessment pour créer un registre de risques qui va mettre en évidence l’état actuel du profil de risque. Sur base de ce registre, la direction de la société va prendre des décisions : quel risque accepte-t-on ? Quels sont ceux que l’on doit faire diminuer ? » Souvent, ces décisions dépendront du coût immédiat et du coût futur en cas de faille. Par exemple, doit-on changer notre système de stockage parce qu’il présente un risque ? Ou bien le coût du risque s’il survient est inférieur au coût du remplacement ? « Trop souvent les entreprises font l’erreur de s’arrêter au Risk Assessment » nous confie Kris Vansteenwegen « Pourtant ce n’est qu’une étape, celle du début. Une bonne gouvernance du risque passe par un « Risk Manager » qui continue à mettre à jour le registre de manière régulière.
Chez NRB nous avons également le SOC, Security Operations Center, un centre où les systèmes d'information d'entreprise (sites Web, applications, bases de données, centres de données et serveurs, réseaux, ordinateurs de bureau et autres terminaux) sont SURVEILLÉS, ÉVALUÉS et DÉFENDU. Il existe trois fonctions essentielles dans la construction d'un SOC: premièrement, la configuration d'outils de surveillance de sécurité pour recevoir des données brutes pertinentes pour la sécurité, deuxièmement, l’utilisation de ces outils pour trouver une activité suspecte ou malveillante et, troisièmement, la mise en œuvre d'un plan itératif de gouvernance de la sécurité de l'information.
En effet les menaces évoluent, mais aussi le matériel et les logiciels utilisés par l’entreprise. Avec les tendances « Bring your Own Device » ou « Mobility », la cybersécurité est devenue essentielle au quotidien. » Les événements de ce mois de mai sont révélateurs de choix stratégiques des entreprises impactées. « Un hôpital qui ne remplace pas l’ordinateur de son scanner alors que celui-ci est équipé avec Windows XP, un programme qui n’a plus aucune mise à jour de sécurité depuis 2014, c’est soit un choix stratégique, soit de l’inconscience. C’est pour cela qu’il faut aligner la gouvernance du risque avec les objectifs stratégiques de l’entreprise, mais aussi avec ses ressources (assets) internes comme les logiciels et les devices ou encore le département ICT. »
On l’a bien compris, la gestion du cyber-risque est un travail régulier, sans cesse remis à jour, qui doit être intégré dans l’organisation des entreprises. La vulnérabilité utilisée par WannaCry/WannaCrypt est connue depuis Avril 2016 et les entreprises qui ont fait de la cybersécurité une priorité n’ont pas été impactées. « Chez NRB nous avons fait de la cybersécurité de nos clients un élément stratégique et nous travaillons sans cesse au monitoring des activités à travers le SOC. »
Vous voilà prévenu ! Si le cyber-risque zéro n’existe pas, il peut être prévu, détecté et corrigé quand c’est nécessaire pour assurer une continuité des activités de l’entreprise.
