Ce que les stratégies de réponse au COVID-19 révèlent sur le fossé entre l'entreprise et la cyber-sécurité

Alors que dans le monde entier, les entreprises ont dû mettre en place de nouveaux processus en catastrophe pour faire face à la pandémie de COVID-19, une étude indépendante sur les risques pour l'activité montre que les responsables cyber-sécurité ont largement été laissés de côté.

La manière dont les entreprises planifient et gèrent les risques pour l'activité fait partie des nombreuses choses qui ont changées suite à la pandémie mondiale de COVID-19. Pourtant, de nombreux responsables cyber-sécurité ont encore du mal à se faire une place parmi les interlocuteurs clés de l'entreprise. 

D'ailleurs, une étude menée par Forrester Consulting à la demande de Tenable révèle une fracture alarmante entre l'entreprise et les responsables cyber-sécurité. Bien que presque tous les participants (96 %) affirment que leur entreprise a mis en place des stratégies de réponse au COVID-19, 75 % affirment que les initiatives de l'équipe de sécurité ne sont au mieux que « relativement » alignées sur les objectifs de l'entreprise.

Ce chiffre est d'autant plus inquiétant à l'heure où la pandémie a obligé les entreprises à passer au télétravail, conduisant à une augmentation massive du nombre d'appareils d'utilisateur final sur les réseaux d'entreprise. Les bureaux distants, qui étaient autrefois proposés uniquement à quelques chanceux, sont aujourd'hui des outils essentiels utilisés par de nombreux employés pour que l'activité soit maintenue. Du jour au lendemain, les employés se connectent aux systèmes et applications de l'entreprise en utilisant leurs propres routeur grand public et réseau domestique, qui n'ont jamais été testés et sont potentiellement vulnérables. La popularité des appareils connectés (IoT) en fait des vecteurs de menace potentiels. Un réseau domestique moyen peut englober un dispositif Amazon Alexa ou tout autre outil à commande vocale, des téléviseurs et des consoles de jeu vidéo connectés à Internet, ainsi que des ordinateurs portables, tablettes et téléphones divers appartenant aux conjoints, aux enfants ou à d'autres membres du foyer.

L'Institut Brookings estime qu'à la date du 9 avril 2020, près de la moitié des travailleurs américains travaillaient de chez eux, ce qui constitue selon lui « un changement spectaculaire ». En effet, d'après une étude de Pew Research, avant la pandémie, seuls 7 % des travailleurs civils aux États-Unis (c'est-à-dire environ 9,8 millions sur les quelque 140 millions de travailleurs civils du pays) avaient la possibilité de travailler de manière « flexible », ou en télétravail.

Et les cyber-criminels ne se font pas prier pour exploiter une surface d'attaque qui s'étend de façon exponentielle. Selon l'étude Forrester, à la mi-avril 2020, quatre entreprises sur dix (41 %) avaient déjà subi au moins une cyber-attaque ayant des répercussions sur l'activité* à la suite d'une attaque de phishing ou de malware liée à la pandémie de COVID-19. Les données, basées sur une enquête en ligne menée auprès de plus de 800 dirigeants et responsables cyber-sécurité dans 10 pays, sont tirées de l'étude L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise. 

Les attaques liées au COVID étaient la source numéro 1 de toutes les cyber-attaques ayant des répercussions sur l'activité signalées dans l'étude. Bien que l'Organisation mondiale de la santé n'ait déclaré l'état de pandémie que quelques semaines avant que l'enquête ne soit menée, les attaques liées au COVID avaient déjà dépassé les autres types d'attaques ayant des répercussions sur l'activité telles que les fraudes (40 %), les violations de données (37 %), les ransomwares (36 %) et l'exploitation des vulnérabilités logicielles (34 %).

Curieusement, sur le plan personnel, je trouve les résultats de l'enquête rassurants : ils confirment que je ne suis pas le seul responsable sécurité à s'inquiéter de ces tendances. Deux répondants sur trois à l'enquête Forrester (67 %) se disent très ou extrêmement préoccupés par le fait que les changements de modes de travail rendus nécessaires par la pandémie de COVID-19 vont augmenter le niveau de risque de leur entreprise. 

Pour ne rien arranger, environ la moitié des responsables cyber-sécurité interrogés (48 %) déclarent n'avoir qu'une visibilité modérée, voire nulle, sur leurs employés en télétravail.

Pour combler ce fossé, les entreprises doivent dans un premier temps intégrer la cyber-sécurité lors de l'élaboration de leurs stratégies de gestion des risques. 

Comment la gestion des risques peut vous aider à devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les RSSI, les CSO et les autres responsables cyber-sécurité sont les mieux placés pour jouer un rôle plus important dans la gestion des risques et les disciplines connexes que sont la continuité de l'activité, la reprise après sinistre et la gestion de crise. Nos responsabilités nous placent à un carrefour entre la technologie et la gestion d'entreprise. Nous avons une visibilité sur l'ensemble des systèmes, données et processus nécessaires à la mise en œuvre d'un plan de continuité de l'activité et de reprise après sinistre. Être impliqué dans l'élaboration d'un plan de gestion des risques peut également rendre votre travail un peu plus gérable : si vous pouvez comprendre tous vos processus et assets critiques du point de vue du risque global pour l'entreprise, votre approche de cyber-sécurité sera également plus efficace. 

Il y a également un avantage opérationnel évident à participer aux activités de gestion des risques, car elles peuvent créer une passerelle entre l'entreprise et les responsables InfoSec. Les enseignements tirés du processus aideront l'ensemble de l'entreprise à comprendre comment prioriser au mieux les ressources (tant humaines que financières) pour que l'entreprise puisse continuer à fonctionner même en cas de crise.  

Sentara Healthcare : exemple d'un alignement réussi

Sentara Healthcare offre un exemple d'alignement réussi. Dans un entretien avec Tenable, Dan Bowden, RSSI chez Sentara Healthcare, expliquait qu'au début de la pandémie, les équipes sécurité et IT de l'entreprise ont eu deux tâches cruciales à remplir : permettre à un grand nombre d'employés de passer au télétravail et aider à transformer des chambres d'hôpital standard en services de soins intensifs en faisant évoluer les systèmes OT et IoT nécessaires pour soigner un nombre croissant soudain de patients gravement malades.

« En mars et avril, je dirais que nous avons consacré plus de 50 % de notre temps à renforcer les capacités des services de soins intensifs et à déterminer comment [nous pourrions] utiliser la technologie pour augmenter la durée de vie des équipements de protection individuelle (EPI) », déclare M. Bowden.

Même si les transitions se sont finalement bien déroulées, le processus d'application de correctifs de l'entreprise a connu deux mois d'activité intensive.

« Je suis un RSSI qui utilise énormément les scans de vulnérabilités, et mon équipe les utilise beaucoup [également] », explique M. Bowden. « Nous nous basons sur la demande pour savoir comment agir lorsque nous découvrons une nouvelle vulnérabilité. Et nous avons dû quelque peu modifier notre planning de scans des vulnérabilités et notre politique d'application des correctifs, car nos équipes IT étaient occupées à changer la configuration des lits dans les hôpitaux. Une chambre [d'hôpital] standard est configurée d'une certaine manière d'un point de vue technologique. Et lorsque vous passez à une configuration de soins intensifs, de nombreux systèmes technologiques et applications nécessitent des modifications en cascade. Nos équipes chargées de l'infrastructure et des applications ont été très occupées à modifier le volume de lits disponibles, pour passer d'un petit nombre de lits de soins intensifs à un très grand nombre. Nous avons donc dû déterminer comment continuer à respecter notre calendrier de patching de manière à pouvoir gérer les risques de manière efficace. Nous nous sommes beaucoup appuyés sur le classement VPR de Tenable pour cela. Nous l'avons probablement utilisé de manière beaucoup plus intensive ce printemps et cet été que par le passé. »

Arrivé au mois de juin, le processus de patching était de nouveau sur la bonne voie. Maintenant, à l'approche du quatrième trimestre, M. Bowden est confronté à des décisions budgétaires importantes, comme le sont de nombreux secteurs d'activité qui ont subi l'impact économique du COVID-19. « Nous essayons de réduire [les dépenses d'exploitation] et de revenir dans le budget. Comment faisons-nous pour atteindre le seuil de rentabilité en 2020 ? Nous nous concentrons principalement sur les opérations les plus basiques ainsi que sur toutes les nouvelles demandes qui surviennent en raison des variations de propagation du COVID-19. »

M. Bowden ajoute : « Notre équipe de direction, qui est très progressiste, nous dit : "Soyez créatifs, aidez-nous à trouver des solutions pour que l'entreprise continue à se développer malgré la situation que nous traversons". Nous avons donc quelques grands projets à mettre en place dans ce sens. » 

Le retour sur investissement de la cyber-sécurité

À l'heure où les entreprises du monde entier sont confrontées à une période d'incertitude économique susceptible de durer, il devient plus que jamais essentiel de prioriser les investissements en fonction du risque. L'étude Forrester montre que lorsque la sécurité est alignée sur les objectifs de l'entreprise, les résultats obtenus sont remarquables. Par exemple, 85 % des responsables sécurité alignés sur les objectifs de l'entreprise ont défini des métriques pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement un quart (25 %) de leurs homologues fonctionnant en vase clos, à l'approche plus réactive. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise que ses homologues fonctionnant en vase clos. Et la grande majorité (86 %) utilise un processus qui exprime clairement les attentes et démontre une amélioration continue des processus, contre seulement 32 % de leurs homologues plus réactifs fonctionnant en vase clos. 

En participant à l'élaboration de la stratégie de gestion des risques (ERM) de votre entreprise, vous serez sur la bonne voie pour devenir un responsable de cyber-sécurité aligné sur les objectifs de l'entreprise.

Ces six étapes vous aideront à identifier et à évaluer les risques auxquels votre entreprise est exposée :

1. Élaborez une enquête d'évaluation des risques et demandez aux interlocuteurs clés d'y répondre. Ce type d'enquête est généralement destiné à la direction et devrait inclure des représentants des principaux services de votre entreprise, notamment la direction financière, la direction juridique, les ressources humaines, l'IT, la sécurité de l'information, le service commercial, les opérations, le marketing et la R&D. Une fois votre enquête terminée, utilisez les réponses pour créer des catégories de risques afin de dresser un inventaire des risques auxquels l'entreprise est exposée.
2. Effectuez des recherches et des analyses pour comparer les résultats de votre enquête à ceux des autres entreprises du secteur.
3. Développez une méthodologie d'évaluation des risques, comprenant notamment la probabilité et l'impact, pour obtenir un score de risque total. 
4. Identifiez les responsables clés de votre entreprise et prenez le temps de leur demander leur avis sur les risques et leur priorisation, ainsi que sur la probabilité et l'impact des risques.
5. Présentez les résultats de votre évaluation des risques aux dirigeants pour officialiser les principaux risques et désigner les responsables des risques.
6. Collaborez avec les responsables des risques et mettez en place une stratégie de limitation pour les risques les plus importants.

Ces étapes peuvent vous sembler laborieuses, mais elles vous permettront de bénéficier de nombreux avantages en vous donnant un ensemble clair de priorités. Vous disposerez d'une liste des risques pour l'entreprise approuvée par tous les interlocuteurs. Si la cyber-sécurité peut constituer elle-même un risque pour l'entreprise, elle aura certainement un impact sur un grand nombre, voire sur la totalité des autres risques encourus par l'entreprise, sous une forme ou une autre. 

En plus d'une évaluation des risques, effectuez une analyse d'impact sur l'entreprise. Elle s'avérera essentielle pour la continuité de l'activité et la reprise après sinistre. Vous pourrez ainsi déterminer quels sont les systèmes et les processus essentiels dont votre entreprise ne peut pas se passer. Ces informations serviront de base à l'élaboration d'une stratégie de cyber-sécurité alignée sur les objectifs de l'entreprise. Vous disposerez ainsi d'une liste des risques et des processus les plus critiques pour votre entreprise, ce qui vous permettra également de déterminer où vos efforts de remédiation doivent se concentrer en priorité en temps de crise (qu'il s'agisse d'une cyber-attaque, d'une catastrophe naturelle ou d'une pandémie mondiale) et lorsque l'activité normale reprendra. 

En période de stabilité, les entreprises traitent la gestion des risques de l'entreprise comme une simple obligation réglementaire qu'elles confient à une équipe de professionnels du risque isolée. Avec la pandémie de COVID-19, les dirigeants et les responsables des technologies n'ont pas eu le choix et ont dû apprendre sur le tas comment gérer une crise. Il incombe à chacun de nous de considérer cette crise comme une occasion de repenser notre approche de la gestion des risques pour l'entreprise, afin de mieux nous préparer aux périodes difficiles et de pouvoir en retirer tous les bénéfices lors de la reprise. 

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

• Découvrez d'autres conclusions de l'étude
• Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise
• Lisez les articles de blog Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ? et Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »
• Téléchargez le livre blanc Devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Lisez l'eBook Comment devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Écoutez la série de podcasts Cyber Exposure, « Entretien avec Robert Huber, CSO de Tenable »

* Aux fins de cette enquête, l'expression « ayant des répercussions sur l'activité » se rapporte à une cyber-attaque ou une compromission qui a entraîné un ou plusieurs des éléments suivants : la perte de données client, de données employé ou d'autres données confidentielles, l'interruption des opérations quotidiennes, le versement d'une rançon, une perte financière ou un détournement de fonds, et/ou un vol de propriété intellectuelle.