7 questions que tous les directeurs soucieux de renforcer leur cyber-résilience devraient poser avant d’acheter de nouveaux logiciels

L’achat de logiciels de cybersécurité ou de résilience d’entreprise nécessite d’examiner plusieurs facteurs. Elle est généralement sous la responsabilité ou l’influence de parties prenantes techniques telles que le directeur de la sécurité, le directeur informatique ou le directeur technique. Mais paradoxalement, c’est en s’appuyant sur des facteurs non techniques que l’on peut savoir le mieux si une technologie donnée convient réellement à son entreprise. Pour cela, vous devrez réfléchir à vos outils existants, au rythme des changements externes et à la position de sécurité globale de votre organisation, en tenant également compte des personnes et des processus.

Voici 7 questions à vous poser, en particulier durant le processus d’achat (mais elles sont valables en permanence), pour aider votre entreprise à faire le meilleur achat possible tout en augmentant sa cyber-résilience.

1. Y a-t-il des lacunes dans notre assurance ?

Traditionnellement, la plupart des dirigeants voyaient le cyber-risque comme un risque contre lequel ils pouvaient s’assurer puis passer à autre chose. Mais avec l’augmentation de la fréquence, du professionnalisme, de l’ampleur et de l’impact potentiel des cyber-incidents, le marché de l’assurance commence à faire connaître les limites qu’il doit imposer. En décembre 2022, le PDG de Zurich a déclaré que « le cyber deviendra non assurable », tandis que Lloyds of London a introduit une exemption pour les attaques soutenues par un État, affirmant que « les pertes ont le potentiel de dépasser largement ce que le marché peut supporter ».

Ces changements sont principalement motivés par la connectivité croissante entre les mondes cyber et physique, la montée continue des ransomwares et le professionnalisme croissant de l’industrie de la cybercriminalité.

Bien que des pressions soient exercées sur les gouvernements pour qu’ils apportent un soutien lors d’événements liés au terrorisme (comme ils le font déjà en cas de catastrophe naturelle), la clarification de ce qui constitue un « soutien de l’État » restera probablement une zone grise dont la clarification aura un coût juridique important.

Le résultat : il va être de plus en plus difficile de vous assurer contre les cyberattaques et, même si vous le faites, vous aurez sans doute plus de difficulté à faire jouer votre police. Vous allez sans doute constater un écart grandissant entre les risques contre lesquels vous vous assurez et ceux que vos investissements de sécurité peuvent atténuer, et c’est pourquoi nous vous recommandons de revoir les deux régulièrement en fonction des évolutions du paysage externe. Vous devrez certainement augmenter votre investissement dans des solutions techniques couvrant tout le spectre de la sécurité : prévention, détection, réponse et récupération.

2. Comment cette solution va-t-elle évoluer pour s’adapter au paysage des menaces ?

L’époque où la cybercriminalité était le fait d’acteurs solitaires enfermés dans leur chambre est révolue depuis longtemps. Aujourd’hui, il faut envisager la cybercriminalité comme un marché professionnel avec un accès facile à du capital, des budgets de R&D et la capacité d’exploiter les nouvelles technologies plus rapidement que vous.

Pour prendre un exemple, LinkedIn a déjà vu une augmentation rapide du nombre de solutions de type « ChatGPT » utilisant l’IA pour créer de faux profils et arnaquer les chercheurs d’emploi. En 2022, la Commission fédérale du commerce des États-Unis a estimé qu’il y avait 92 000 escroqueries connexes, représentant un coût total de 367 millions de dollars, soit une augmentation de 75 % par rapport à l’année précédente. Si vous ajoutez à cela l’élargissement de la surface d’attaque de l’IoT, qui, selon Statista, doit doubler d’ici 2030 pour atteindre 30 milliards d’appareils, vous comprenez que le risque associé pour les individus et les organisations n’évolue que dans une seule direction.

Pour ces raisons et bien d’autres, vous faites face à un paysage de menaces imprévisibles et de plus en plus puissantes. Plutôt que de chercher à prédire en détail la façon dont il va évoluer, vous devez vous assurer que les solutions que vous mettez en place aujourd’hui sont intrinsèquement agiles et capables de s’adapter pour répondre aux nouvelles menaces lorsqu’elles surviennent. Cela impliquera très certainement vos partenaires fournisseurs – il est donc utile de connaître leurs ressources et leurs intentions en la matière.

Ne soyez pas timide. Interrogez vos fournisseurs sur leur capacité à faire face aux nouvelles menaces : de quoi il s’agit selon eux, comment ils prévoient de réagir, à quelle vitesse les correctifs ou les évolutions de produits arriveront jusqu’à vous, et si cela entraînera des frais supplémentaires.

3. Comprenons-nous l’impact potentiel d’une vulnérabilité de la chaîne d’approvisionnement ?

Pandémie, porte-conteneurs bloqué entre les rives du canal de Panama, troubles géopolitiques continus... J’ai bien conscience d’enfoncer des portes ouvertes mais rappelons-le : les risques liés à la cybersécurité de votre organisation s’étendent au-delà de vos propres contrôles et englobent toute votre chaîne d’approvisionnement. Il est précieux de comprendre votre exposition à une défaillance dans ce domaine et pourtant, à peine plus de la moitié des grandes entreprises basées au Royaume-Uni évaluent les risques de cybersécurité immédiats de leur chaîne d’approvisionnement selon le Département de l’innovation scientifique et de la technologie.

Pour donner un peu de contexte budgétaire, en 2023, MKS Instruments, fournisseur de composants et de systèmes pour l’industrie des semi-conducteurs, a subi une attaque par ransomware qui a eu un impact sur les systèmes liés à la production, et notamment au traitement des commandes et à l’expédition. L’impact financier au moment où nous écrivons ces lignes était estimé entre 200 et 500 millions de dollars – soit au moins 20 % de ses revenus trimestriels. L’impact sur l’un de ses clients (non confirmé) a été d’une ampleur similaire : environ 250 millions de dollars de coût.

Cette perturbation peut également prendre des formes numériques et physiques : pensez à considérer les deux. Vous avez probablement déjà mis en place des normes pour votre chaîne d’approvisionnement, mais demandez-vous sur quelles données votre entreprise base sa confiance dans le respect de ces normes. De nombreuses entreprises continuent de s’appuyer sur des audits à intervalles fixes, mais nous avons tendance à privilégier une approche continue, basée sur les risques et informée par les données.

4. Atténuons-nous efficacement la pénurie de talents ?

L’un des défis les plus redoutables pour de nombreuses entreprises est sans aucun doute celui du talent et des compétences.

Gartner affirme qu’il y a actuellement 3,4 millions de postes à pourvoir dans le domaine de la cybersécurité et que d’ici 2025, près de la moitié des responsables de la cybersécurité vont changer d’emploi, malgré des augmentations de salaire d’environ 16 % entre 2019 et 2020 dans le secteur. Pour leurs employeurs, ce roulement va augmenter de 30 % les coûts en personnel. Si vous pensez également que d’ici 2025, le manque de personnel ou l’erreur humaine sera responsable de plus de la moitié des cyber-incidents importants, vous commencerez à comprendre l’importance de l’acquisition et de la rétention des talents.

Le burnout (stress chronique) et le surmenage (incapacité à répondre aux demandes) sont deux risques majeurs pour la rétention et l’efficacité de votre cyberdéfense. Et si des technologies telles que l’automatisation, les alertes basées sur les risques et l’IA/ML peuvent être d’une aide précieuse, vous avez tout intérêt à prévoir des budgets substantiels pour le bien-être, la formation et le développement de vos équipes, et à recruter en restant attentif à l’attrition.

Et même avec toutes ces précautions, la pénurie de talents va durer : pensez plutôt à mettre vos RH au défi de définir des parcours de carrière ou de perfectionnement susceptibles d’étoffer vos équipes dans le domaine. Encore une fois, les fournisseurs de votre chaîne d’approvisionnement peuvent venir en renfort : à long terme, ils ont tout intérêt à ce que des utilisateurs connaissent bien leurs produits, ce qui ouvre la voie à un partenariat gagnant-gagnant.

5. Avons-nous clairement identifié nos actifs prioritaires avant d’engager des budgets ?

En 2015, le cabinet McKinsey a interrogé 45 entreprises du Global 500 sur leurs dépenses et leurs capacités en matière de cybersécurité. Ses conclusions sont nettes : il y a peu de corrélation entre les dépenses et le niveau de protection. La raison est évidemment que tous les actifs ne se valent pas : ils soutiennent les opérations de différentes manières et présentent des profils de risque et d’exposition différents. Il est donc logique qu’ils ne soient pas protégés de la même manière.

Cela vous amène à adopter une approche de la cybersécurité basée sur les risques, et en la matière, le secteur public a quelques leçons utiles à nous donner.

Plus de 100 gouvernements ont développé des stratégies nationales de défense de la cybersécurité et McKinsey a également évalué 11 d’entre elles pour en tirer les grands principes. Ceux-ci sont également valables pour les entreprises. Pour les dirigeants, en voici les points essentiels :

1. Donnez la priorité aux actifs critiques. Pour dire les choses très simplement, cela peut vous obliger à trier les actifs de votre organisation et à définir un seuil de risque acceptable pour chaque catégorie. Les bonnes pratiques vous encouragent également à mettre en œuvre des normes de cybersécurité communes appliquées à vos actifs prioritaires et régies efficacement.
2. Mettez en place une approche standardisée de la gestion des risques pour fournir à tous les acteurs de la réponse ainsi qu’aux parties prenantes un langage commun pour définir les cyber-incidents de différents niveaux de gravité. Cette normalisation des bases de réflexion devrait éliminer les biais de vos décisions d’investissement.
3. Élaborez un plan d’intervention et de rétablissement clairement défini appuyé par des principes de signalement, des processus et des ressources formalisés et bien compris. En particulier, définissez clairement quelles étapes se situent en dehors de l’organisation et reposent sur des partenaires et d’autres tiers. Faites en sorte que tout cela soit documenté dans une forme quelconque de contrat de service.

Les points ci-dessus sont valables pour tous les actifs, mais vous devez mettre l’accent sur ceux qui jouent les rôles les plus critiques dans la performance de l’entreprise.

6. Pouvons-nous profiter de l’occasion pour simplifier et créer de la valeur au-delà de cet achat ?

La réponse instinctive à la cybermenace est d’investir dans de nouvelles technologies. Et c’est logique : quand la surface d’attaque et la sophistication des acteurs de la menace augmentent, les besoins en capacités de défense technologiques augmentent également, et l’approche classique pour améliorer les performances consiste à ingérer davantage de données, plus souvent, pour les exploiter de nouvelles manières.

Cependant, au fil du temps, cette pratique tend à créer un maillage complexe d’outils aux capacités redondantes. Difficile à manier, à prendre en main et à exploiter, il ne délivre pas toute sa valeur. Et l’on tombe vite dans le piège qui consiste à multiplier les solutions pour un gain relativement faible. Pour ces raisons, de nombreuses entreprises cherchent à consolider et à simplifier leurs environnements afin de réduire les coûts et d’augmenter la création de valeur. Il est (presque) toujours avantageux d’avoir un accès et de la visibilité sur une plus grande quantité de données, mais il existe des moyens rentables de le faire sans dédoubler les efforts et les investissements.

Si cette technologie ou solution vous semble être le bon choix, cherchez à savoir si elle offre des fonctionnalités qui pourraient remplacer vos outils actuels afin de créer un environnement plus convivial et, potentiellement, réduire vos coûts. Il est peu probable que vous souhaitiez procéder en une fois, mais si l’option se présente, il peut être intéressant de réfléchir à une approche à faible risque pour la tester.

7. Privilégions-nous le développement des capacités ou les solutions ponctuelles ?

La cyber-résilience est un parcours, pas une destination. Le paysage des menaces et des technologies continuera d’évoluer très rapidement, et c’est pourquoi il est plus important de développer la capacité d’adaptation de l’organisation que de rechercher « la » solution aujourd’hui.

Ce n’est pas nécessairement la réponse pour votre organisation, mais cela aura certainement un impact sur le type d’écosystème de cyber-capacités que vous cherchez à construire, et notamment sur le type et la fréquence de vos échanges avec les partenaires qui le composent et sur la répartition de vos investissements en logiciels, en formation et en services professionnels à court terme.

Quoi qu’il en soit, si vos parties prenantes vous vendent « la réponse » purement technologique, c’est qu’elles n’ont probablement pas compris vos problématiques ni ce dont vous aurez besoin pour maintenir votre cyber-résilience au fil des ans.

Que devez-vous viser ?

Vos collègues vous voient désormais comme un gourou de la cyberstratégie (de rien), mais vous n’avez répondu qu’à 3 questions sur 7 et la réunion doit avancer. Sur quels points devez-vous insister ?

Une petite mise en garde : il n’existe pas de solution générique mais, d’une manière générale, nous préconiserions l’approbation de solutions qui :

1. Peuvent amplifier la capacité d’évolution de votre entreprise pour répondre à ses besoins futurs dans le contexte d’un paysage de cybermenaces en croissance et dynamique, qui se professionnalise massivement tout en étant de moins en moins atténué par les assurances.
2. Vous aident à consolider, simplifier et rationaliser votre environnement informatique pour réduire les coûts, extraire davantage de valeur et survivre à la pénurie de talents (par exemple via l’automatisation, l’IA/ML, et la consolidation des produits et des outils).
3. Peuvent aligner la fonctionnalité sur la réalisation de valeur. Sachez clairement quelle valeur vous allez dériver de la solution, comment elle sera mesurée et sur quels actifs elle s’aligne. Elle ne se chiffrera pas nécessairement en GBP, en USD ou en EUR, mais elle doit s’aligner sur des KPI pertinents pour le conseil d’administration et se fonder sur un lexique commun à toute l’entreprise.

Pour finir...

Merci de m’avoir lu jusqu’ici ! Personne ne prétend que c’est facile, mais j’espère qu’à la simple lecture de cette page, vous aurez une meilleure idée du paysage numérique et davantage confiance dans votre capacité à évaluer le mérite des futures décisions d’investissement.

La cyber-résilience ne s’atteint pas seulement avec des logiciels, et en tant que partie prenante non technique, vous pouvez ajouter une valeur considérable au processus d’achat en clarifiant l’objectif ultime, les chemins de valeur prévus (et potentiels), et en vous assurant que le logiciel est envisagé dans le contexte complet des personnes et des processus.

_{*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}