Comment tester la cyberrésilience de votre entreprise

Dans tous les secteurs, les cyberattaques préoccupent de plus en plus les organisations – et avec raison. À l’échelle mondiale, le nombre moyen d’atteintes à la sécurité subies par des entreprises dans la dernière année a augmenté de 11 %, passant de 130 à 145, révèle l’étude sur les coûts du cybercrime réalisée en 2019 par Accenture et le Ponemon Institute.¹ Ces coûts se multiplient à mesure qu’augmente le nombre d’attaques : selon CyberSecurity Ventures, les pertes mondiales liées aux cyberattaques atteindront les 6 billions $ US d’ici 2021, comparativement à 3 billions $ US en 2015. ²

D’après un nouveau rapport d’Aon intitulé « Prepare for the expected: Safeguarding value in the era of cyber risk »³ les entreprises subissent des pertes financières sous la forme de dépenses liées à des crises immédiates, d’amendes réglementaires et de pertes de revenus dues à la perturbation de leurs activités. Sans compter les risques pour leur réputation, puisqu’une attaque peut éroder leur valeur marchande, anéantir la fidélité à leur marque et restreindre leur transformation numérique, note le rapport d’Aon.

Les entreprises investissent judicieusement dans la cybersécurité (CyberSecurity Ventures prévoit des dépenses de plus de 1 billion $ US de 2017 à 2021), mais aucune mesure n’est radicalement efficace. Il est donc crucial d’établir un plan de cyberrésilience pour savoir comment votre organisation résistera en cas de cyberattaque ou d’atteinte à la protection des données, comment elle interviendra et comment se déroulera la reprise de ses activités.

Les plans de cyberrésilience diffèrent d’une organisation à l’autre, mais tous ont en commun la nécessité d’être testés. Une simulation de crise permet aux organisations d’évaluer la rapidité et l’efficacité de leur réaction et de leur intervention à l’égard des divers cyberrisques. Comme le fait remarquer Deloitte dans son rapport « Cinq étapes essentielles pour améliorer la cybersécurité »⁴ la plupart des organisations ont mis en place un processus de gestion des incidents liés à la sécurité, mais rares sont celles qui l’ont testé.

Le rapport fait état de questions clés que les organisations doivent se poser, par exemple : « Avec qui y a-t-il lieu de communiquer pendant et après un incident? » et « Quel temps vous faudra-t-il pour remédier à une violation de sécurité et rétablir les activités normales de l’organisation? » « Cependant, trouver les réponses n’est qu’un élément de l’équation, peut-on lire dans le rapport. Il est primordial de les tester. »

Voici quatre pratiques exemplaires pour tester votre plan de cyberrésilience.

• Assurez-vous que tout le monde est sur la même longueur d’onde : Comme dans toute initiative d’envergure, le soutien de la direction représente la première étape indispensable pour créer et tester un plan de cyberrésilience. Comme le constate un spécialiste de la cybersécurité, sans l’appui de la direction, il est impossible pour les responsables de la cybersécurité de planifier une défense efficace contre les menaces.⁵ De plus, comme la cybersécurité est l’affaire de tout le monde, tous les employés de l’organisation doivent être informés du plan et connaître leurs rôles et responsabilités.
• Réalisez une analyse de vulnérabilité : En informatique, une vulnérabilité s’entend d’une faiblesse que peuvent exploiter les cyberattaquants dans un appareil ou un système. Par une analyse (ou évaluation) des vulnérabilités, les entreprises peuvent identifier les maillons les plus faibles et les plus susceptibles d’être ciblés dans leur système et, par conséquent, les plus pertinents dans le plan de cyberrésilience.⁶
• Menez des simulations de cyberattaques : Comme le souligne Deloitte, les simulations de cyberattaques sont des techniques interactives qui plongent les participants dans un scénario d’attaque simulé dans le but d’aider l’organisation à évaluer sa réaction et son état de préparation. Par exemple, les organisations pourraient vouloir tester leurs défenses par rapport aux courriels d’hameçonnage, des courriels frauduleux ayant pour but d’amener les employés à transmettre à leur insu des mots de passe, des renseignements financiers ou des pièces jointes malveillantes (documents d’apparence légitime qui cachent en fait un virus ou un logiciel malveillant).
• Réévaluez votre plan et améliorez-le : « Il est inutile de procéder à des attaques simulées si ce n’est pas pour optimiser les processus d’intervention en cas d’incident », déclare un autre spécialiste de la cybersécurité.7 Déterminez ce qui a bien fonctionné et ce qui n’a pas fonctionné dans votre plan d’intervention. Définissez les points à améliorer et modifiez en conséquence les processus nécessaires.⁷ Determine what worked well and what didn’t in your response plan. Identify areas for improvement and adjust the necessary processes.

Au terme de ces étapes, si vous estimez avoir encore besoin d’assistance ou de conseils, votre assureur pourra peut-être vous aider. Le risque de cyberattaque sera moins accablant si vous avez testé votre plan et savez qu’il tient la route.

Sources

¹ Rapport de Recherche : "Le cybercrime en 2019: impact et opportunités" Accenture, 6 mars 2019
² “Global Cybercrime Damages Predicted to Reach $6 Trillion Annually By 2021”. Cybercrime Magazine, 7 decembre 2018
³ Media Release “Aon report shares C-suite insights as losses from cyber attacks set to reach all-time highs”, accessed December 4th, 2019
⁴ "Cinq étapes essentielles pour améliorer la cybersécurité" Deloitte, consulté 4 decembre 2019
⁵ Burley, Ron “How Cybersecurity Leaders Can Best Navigate the C-Suite” CPO Magazine, 13 septembre 2019
⁶ “Best Practices for testing you Cyber Incident Response Plan” RSI Security, 8 fevrier 2019
⁷ Reichenberg, Nimmy “Putting Your Incident Response Processes to the Test” Siemplify, 8 juillet 2018