La cybersécurité est une priorité dans presque toutes les organisations. Pourtant, de nombreuses entreprises restent vulnérables car la sécurité de l’information n’est pas toujours profondément ancrée dans les activités de l’entreprise. Souvent, les mesures ne sont prises qu’après coup, par exemple en cas d’incident ou sous la pression de nouvelles lois et réglementations. En même temps, nous constatons que les organisations qui adoptent une approche proactive et holistique sont moins susceptibles de rencontrer des problèmes graves. Dans cet article, nous montrons pourquoi une vision intégrale de la cybersécurité est si importante, où les choses tournent souvent mal dans la pratique et comment les entreprises peuvent améliorer durablement leur niveau de sécurité.

La violation de données d’Equifax est un exemple éloquent des risques liés à une sécurité ad hoc en 2017. Ce bureau de crédit américain a perdu les données personnelles de millions de clients parce qu’une vulnérabilité logicielle connue n’a pas été corrigée à temps. Bien que des mesures technologiques aient été mises en place (pare-feu, systèmes de détection d’intrusion), Les enquêtes ont révélé que la gestion des correctifs et l’analyse des risques n’étaient pas suffisamment intégrées dans les processus opérationnels. L’organisation ne savait pas exactement où se trouvaient les systèmes vulnérables et qui en était responsable.

L’incident a montré que quelques solutions techniques peu rigoureuses ne fournissent pas de garanties en l’absence d’une politique intégrée. Le manque d’appropriation, la mauvaise communication entre les départements et le manque de visibilité sur les données critiques ont tous contribué à l’impact de cette violation de données. Le coût pour Equifax s’est élevé à des centaines de millions de dollars et l’atteinte à la réputation a été énorme.

Réflexion holistique sur la sécurité

L’une des leçons à tirer de ces incidents est que la sécurité ne se résume pas à des “solutions” techniques telles qu’un logiciel antivirus, un pare-feu ou un test de pénétration ponctuel. Bien sûr, ces technologies sont utiles, mais elles doivent être intégrées dans un système dans lequel les personnes, les processus et les politiques sont parfaitement harmonisés.

  • De nombreux incidents sont dus à une erreur humaine : un clic inattentif sur un lien d’hameçonnage, une mauvaise configuration dans le nuage ou un accès non autorisé à des comptes. La sensibilisation et la formation continue sont est donc indispensable. Cela va au-delà d’un programme de sensibilisation ponctuel ; il faut une culture dans laquelle les employés osent signaler les incidents et les quasi-incidents sans craindre de sanctions.
  • La sécurité doit être un point récurrent de l’ordre du jour, depuis le développement des produits et la sélection des fournisseurs jusqu’à l’utilisation quotidienne des systèmes. Par exemple, intégrer la gestion des risques dans les processus de changement, de sorte qu’il ne s’agit pas d’un élément à réglementer “après coup”.
  • En l’absence de responsabilités claires et d’une répartition précise des tâches, la cybersécurité reste souvent au stade des bonnes intentions. Il convient donc de nommer un RSSI ou un responsable de la sécurité dont le mandat et la structure hiérarchique sont clairement définis. De cette manière, les risques et les incidents sont portés à l’attention du conseil d’administration. En rassemblant tous ces éléments dans un cadre unique, la sécurité n’est pas un élément de clôture mais fait partie intégrante de la stratégie et des opérations.

Le rôle de la législation

En Europe, la sécurité numérique fait l’objet d’une attention juridique croissante. Quelques développements clés :

  • Ce règlement a introduit un cadre européen pour la certification des produits et services TIC. Les organisations peuvent faire évaluer la sécurité de leurs solutions, créant ainsi un marché plus transparent.
  • Cette loi consacre le principe de la “sécurité dès la conception” tout au long du cycle de vie du matériel et des logiciels. Les fabricants et les vendeurs restent tenus de corriger les vulnérabilités et d’en informer les utilisateurs.
  • La directive NIS renforcée étend le champ d’application à davantage de secteurs (notamment l’énergie, les soins de santé, les transports et les services numériques critiques) et fixe des exigences plus élevées en matière de notification des incidents et de responsabilité des gestionnaires, entre autres.

Ces règlements donnent aux organisations non seulement des devoirs supplémentaires, mais aussi davantage de conseils. Toutefois, celles qui se contentent de “cocher” les exigences légales constateront que la barre devient de plus en plus haute. Une organisation qui investit dans une stratégie de sécurité intégrée s’adaptera plus facilement aux nouvelles exigences et bénéficiera de la confiance de ses clients, de ses fournisseurs et des autorités de réglementation.

IA et données : la prochaine vague de risques L’intelligence artificielle (IA) et l’analyse de données à grande échelle offrent de nouvelles opportunités, mais aussi de nouvelles menaces et de nouveaux dilemmes éthiques.

  1. **Les modèles d’IA sont aussi bons que les données sur lesquelles ils sont entraînés. Lorsque les ensembles de données pour la reconnaissance faciale sont principalement constitués d’images de certaines populations, cela peut conduire à un modèle qui reconnaît difficilement d’autres groupes. Cela n’est pas seulement préjudiciable aux personnes concernées, mais peut également nuire à la réputation et avoir des conséquences juridiques pour l’organisation qui déploie l’IA.
  2. **Des modèles d’IA sophistiqués peuvent générer des vidéos, des sons ou des images réalistes qui donnent l’impression que des personnes disent ou font des choses qui n’ont jamais eu lieu. Ce phénomène peut être utilisé à des fins de fraude, de chantage ou de désinformation à des fins politiques. Les organisations feraient bien d’investir dans des outils de détection et de sensibiliser leurs employés afin qu’ils puissent reconnaître rapidement les contenus de type “deepfake”.
  3. **Les acteurs malveillants peuvent manipuler les modèles d’IA en les alimentant avec des données subtilement manipulées. Par exemple, les voitures autopilotées peuvent être “désorientées” si un panneau d’arrêt avec de petits autocollants est reconnu comme un autre panneau. De telles attaques nécessitent des contrôles supplémentaires des données d’entrée et une validation périodique du modèle.
  4. **L’IA s’appuie souvent sur d’énormes quantités de données (personnelles). Si celles-ci ne sont pas suffisamment anonymisées ou stockées de manière incorrecte, un piratage ou une mauvaise configuration peut entraîner de graves atteintes à la vie privée. L’accent repose donc sur la classification des données, un contrôle d’accès strict et le cryptage. Une structure solide de gouvernance des données est donc essentielle : définissez quelles données vous collectez, où elles sont stockées, qui y a accès et quelles sont les mesures de sécurité. nécessaires. Les organisations qui veulent déployer l’IA sans adapter leur modèle de sécurité risquent d’être confrontées à de nouvelles formes d’attaques. La législation, telle que la loi sur l’IA (à venir), exige également que à la transparence, à l’explicabilité et à la documentation des systèmes d’IA. Une vision holistique de la sécurité n’est donc pas un luxe, mais une nécessité absolue.

Apprendre des secteurs hautement réglementés

Dans les secteurs où la sécurité est littéralement une question de vie ou de mort - tels que l’aviation et les produits pharmaceutiques - une approche intégrée est essentielle depuis des décennies.

  • De la liste de contrôle avant le vol au rapport d’incident, chaque étape fait l’objet d’une procédure. Ici, les listes de contrôle ne sont pas de simples listes formelles de points à cocher, mais des outils permettant d’effectuer des étapes cruciales… les stylos sont rendus visibles et contrôlables. Les erreurs sont rapidement détectées et peuvent être traitées de manière systématique.
  • Le secteur pharmaceutique a des exigences strictes en matière de validation des équipements et des processus (“Quality by Design”). Chaque maillon de la chaîne (de la recherche à la production) est documenté et validé. contrôlées. Cela permet d’instaurer une culture où l’amélioration continue et l’analyse approfondie des risques vont de soi.

Ces secteurs montrent qu’une réglementation stricte et des listes de contrôle ne sont pas nécessairement rédhibitoires. Au contraire, si elles sont utilisées correctement, elles contribuent à minimiser les risques et les erreurs à un stade précoce. détecter. L’essentiel est de travailler réellement dans la pratique et d’en tirer des enseignements, plutôt que de se contenter de respecter “officiellement” les règles. Ce principe, qui consiste à intégrer la sécurité à tous les niveaux de l’organisation, s’applique également à la sécurité informatique et à la sécurité de l’information.

De la conformité à l’intrinsèque la sécurité Comment passer du “minimal” au “minimal” ? la “conformité” à une sécurité intrinsèque culture ? Quelques points d’intérêt :

  1. **Si la direction considère la sécurité principalement comme un poste de coût ou une condition préalable, les employés la percevront également de cette manière. Ce n’est que lorsque la direction aura clairement établi que la sécurité est une priorité stratégique et qu’elle aura alloué des ressources (budget, personnel, temps) à cette fin, que l’organisation aura la possibilité de faire de réels progrès.
  2. **Commencez par vous demander : “Où sont nos véritables joyaux ?”. Concentrez la sécurité sur les données, les processus et les systèmes qui causent les plus grands dommages en cas de perte ou d’utilisation abusive. Vous éviterez ainsi d’investir de manière désordonnée dans des mesures “aléatoires solutions.
  3. **Les normes comme ISO 27001 et les cadres comme NIST CSF fournissent une structure complète et vous aident à ne rien oublier d’important. L’essentiel est que vous comprendre pourquoi vous cochez certains points et comment cela rend votre organisation plus sûre. Considérez les listes de contrôle comme un outil et non comme une fin en soi. Dans les secteurs où la sécurité est littéralement une question de vie ou de mort, comme dans l’aviation, une liste de contrôle intégrée peut être utile. est centrale depuis des décennies. Des listes de contrôle avant le vol aux rapports d’incidents, chaque étape est définie par une procédure. Ici, les listes de contrôle ne sont pas de simples listes formelles à cocher, mais des outils qui rendent les étapes cruciales visibles et vérifiables. Les erreurs sont rapidement détectées et peuvent être traitées de manière systématique.
  4. Sortir de l’insularité La cybersécurité ne concerne pas seulement l’informatique. Les aspects juridiques (contrats, conformité), les RH (procédures d’embauche, formation), les installations (sécurité physique) et les achats (gestion des fournisseurs) jouent tous un rôle. Mettez en place un groupe de travail multidisciplinaire ou un comité de pilotage doté d’une large responsabilité pour l’approche intégrée.
  5. Amélioration continue La cybersécurité n’est jamais “terminée”. Créez un cycle régulier de contrôle, d’évaluation, de rapport et d’ajustement. Effectuez des analyses d’incidents et de tendances afin d’identifier des schémas. Un tel cycle Planifier-Faire-Vérifier-Agir est lié aux méthodes d’assurance qualité et permet de ne pas être pris au dépourvu par les nouvelles menaces ou l’évolution de la réglementation.

La voie à suivre

De nombreuses organisations ont l’intention d’améliorer leur sécurité, mais peinent à la mettre en pratique au quotidien. Lors d’incidents - tels que la violation de données d’Equifax ou d’innombrables attaques de ransomware - elles constatent Chaque fois, nous avons constaté qu’il manquait un ou plusieurs éléments essentiels : l’appropriation, la connaissance des données précieuses, la discipline des processus ou la sensibilisation des employés.

Dans le même temps, la pression augmente du fait des lois et des règlements, mais aussi des clients et des partenaires de coopération qui exigent que la confidentialité et la continuité soient garanties. Mais il y a aussi un revers positif à la médaille : ceux qui adoptent une approche intégrée et investissent dans les personnes, les processus et la technologie constateront qu’il est plus facile de satisfaire aux exigences de conformité. En outre, vous récolterez les fruits d’une plus grande fiabilité et d’une meilleure image.

La “cybersécurité holistique” peut être considérée comme un processus d’amélioration continue, dans lequel vous apprenez constamment des erreurs, des nouvelles menaces et des connaissances sectorielles. En examinant les leçons tirées de l’aviation et de la pharmacie, par exemple, ou les risques supplémentaires introduits par l’IA, vous pouvez renforcer la colonne vertébrale de votre propre organisation. Ainsi, vous éviterez que la sécurité ne soit gérée qu’“après coup” ou “sur le papier” et en ferez un véritable facteur de réussite.

Cet article a été précédemment publié dans Quality in Business. (pdf)