Au cours des dernières années, nous avons assisté à d’innombrables cyberattaques et violations massives de données.
Si nous examinons de plus près les plus grandes organisations piratées telles que Facebook, Uber, Yahoo et Capital One, nous constatons que ces violations touchent des entreprises très avancées qui disposent souvent de budgets de sécurité extrêmement importants.
Ces violations leur causent de graves dommages sur le plan financier et l’image de marque, entraînant un processus de gestion de crise chaotique qui coûte des centaines de millions de dollars.
Les piliers fondamentaux du monde de la sécurité ont commencé à changer au cours des dernières années et ces changements ont une incidence directe sur la manière dont les entreprises abordent la sécurité de leurs données.
Néanmoins, quatre tendances émergentes vont changer la manière dont toutes les entreprises se protègent au cours des deux prochaines années.
La première tendance est l’anticipation des cyberattaques.
Alors que, dans le passé, la cybersécurité et la gestion des risques étaient une réflexion après coup.
Les cyberattaques constituent une menace constante, partout, tout le temps et peuvent paralyser toute une organisation. Le simple fait de regarder comment l’attaque contre Yahoo a entraîné une perte de valeur de 350 millions de dollars, ou l’amende de 183 millions de dollars que British Airways a dû payer a permis de prendre conscience de la gravité de la menace cybernétique.
En réponse, les RSSI ont commencé à adopter une approche plus stratégique dans laquelle ils passent moins de temps à se préparer à ce qui est arrivé hier et beaucoup plus de temps à ce que l’attaque de demain ressemblera.
La deuxième tendance est la migration vers le cloud.
Une grande partie du marché a commencé à migrer vers des stratégies informatiques hybrides. Les avantages que le cloud offre aux entreprises sont bien trop importants pour être ignorés, mais il y a un problème : les menaces se sont développées de manière exponentielle. Cela ne veut pas dire que les solutions en nuage sont moins sûres, mais plutôt que les outils utilisés jusqu’à présent pour protéger les actifs sur site ne correspondent plus vraiment.
Un nouvel ensemble d’outils est en train d’être déployé pour protéger le cloud, mais ils s’intègrent dans une vue d’ensemble et c’est un défi auquel les RSSI sont confrontés tous les jours.
La troisième tendance est la communication de crise.
Chaque fois qu’il y a une violation à grande échelle, la haute direction est sur la sellette. Il peut s’agir du PDG, du RSSI ou d’un membre du conseil d’administration, mais l’un des dirigeants est tenu pour responsable et fait face à des conséquences, comme on l’a vu récemment lorsque Capital One a annoncé la suppression de son RSSI à la suite d’une violation massive. Pour se
protéger, les dirigeants doivent s’assurer d’avoir quantifié et atténué au mieux les cyberrisques de leur entreprise, à l’aide de mesures quantifiables.
Cela a conduit à une augmentation significative du nombre de rapports sur le cyberrisque à la direction exécutive – plus de transparence, plus de benchmarking, plus de structure et plus de socialisation du sujet au niveau du conseil.
La quatrième et peut-être la tendance la plus significative est la conformité.
De plus en plus de cadres et d’interventions réglementaires sont introduits. Il est extrêmement difficile de rester au fait des exigences et cela va devenir plus compliqué. Ces exigences sont complexes, étendus et en constante évolution, ce qui rend très difficile le maintien de la conformité tout au long de l’année, ce qui entraîne une vérification de fin d’année très pénible et des lacunes potentiellement importantes en matière de sécurité.
Beaucoup de choses changent !
Les dirigeants d’entreprise et les responsables de la sécurité doivent s’assurer que leur organisation s’adapte et se prépare pour ce nouvel environnement. Un programme sain et structuré de gestion des risques, doté des ressources humaines, des processus et des outils nécessaires pour gérer ce domaine dynamique, permet de rester en dehors des actualités de demain et des analyses réglementaires.
En abordant ce problème en premier, avant d’acheter le prochain ensemble d’outils de sécurité, les responsables de la cybersécurité économiseront sans aucun doute beaucoup de temps et d’argent tout en renforçant la sécurité de l’organisation.
Source : Blog Cylon. « The four New Pillars of Corporate Protection », Infosecurity magazine.