Cyber-Résilience : la gestion des cyber-risques en entreprise
Cyber-Résilience : la gestion des cyber-risques en entreprise
La Cyber-Résilience : c'est quoi ?
Au cours des dernières décennies, le digital s’est imposé, apportant de nouveaux services devenus indispensables et irremplaçables : GPS, carte à puce, smartphone, automobile connectée, smart cities, robotisation… Demain, l’écosystème planétaire sera totalement dépendant du digital.
Mais le digital engendre aussi de nouveaux risques et de nouvelles menaces qu’il s’agit d’identifier, de reconnaître et de maîtriser.
Cette résilience digitale constitue le prérequis incontournable qui doit permettre de se développer en toute confiance dans le cyberespace. Pour survivre, il est devenu nécessaire d’adopter de toute urgence les principes de base de la Cyber-Résilience.
Types de Cyber-risques
Les cyber-risques constituent des faiblesses dans votre système et votre fonctionnement. Ils peuvent avoir différentes origines techniques ou humaines, avoir des conséquences pouvant aller jusqu’à un arrêt forcé de l’activité et sont particulièrement complexes à appréhender au vu de la variété de leur forme :
- Accès privilégiés en vente
- Fuite de données
- Vol de données
- Failles de sécurité
- Criminalité et rançongiciel
- Manipulation et nuisance
- Erreur humaine
- Erreur logicielle
- …
La réalisation d’un risque pouvant avoir plusieurs origines : sous-évaluation, mauvaise anticipation, erreur humaine…
Des exemples récents de cyber-menaces
Si les menaces peuvent apparaître lointaines et diffuses, elles sont pourtant plus d’actualité que jamais.
Retour sur les exemples récents de cyber-risques :
Failles de sécurité - TSMC
Le fabricant de puce TSMC (Taiwan Semiconductor Manufacturing Company) a été victime d’un virus qui s’est propagé dans des systèmes obsolètes et il a fallu près de 3 jours avant de recouvrer une situation normale. En dehors des coûts engendrés, la société a averti que l’incident pouvait porter sur 3 pourcents des revenus de son 3ème trimestre et que des retards de fabrication pourraient être constatés jusqu’à la fin de l’année.
Source : TSMC - 05/08/2018
Criminalité et Rançongiciel - WannaCry
Le rançongiciel WannaCry, qui a déferlé sur le globe en mai 2017, a violemment affecté des entreprises comme Vodafone, FedEx ou la Deutsche Bahn. Victime, le National Health Service anglais a été contraint d’annuler des milliers de rendez-vous médicaux.
Source : National Audit Office, NAO - 25/04/2018
Erreur Humaine - Nice Systems
Un prestataire de Verizon, Nice Systems, a exposé publiquement une base de données hébergée sur Amazon S3. En raison d’une erreur humaine, un listing de 14 millions de clients américains a malencontreusement été laissée libre de toute protection ou encryptage.
Source : Verizon - 07/12/2017
La Cyber-Résilience dans votre organisation
Dans le cyberespace, la réalisation du risque cyber est certaine pour tous les acteurs et l’accepter doit conduire à mieux anticiper les risques, se défendre contre eux, se préparer à absorber le choc, réagir à toute éventualité et rebondir.
Dans ce contexte, la Cyber-Résilience centrée sur la protection des données montre également ses limites, même si elle reste importante et représente un « minimum vital ». Elle doit être renforcée par une approche globale et totalement intégrée.
Il s’agit d’aller, au-delà d’une stratégie de pure défense, de gérer les risques naturellement, « by design », dans un mode « business as usual », face à des menaces changeantes et adaptatives.
Les points-clés de la Cyber-Résilience
Dans ce livre blanc, nous présentons en détail les points-clés de la Cyber-Résilience au sein de votre entreprise, à savoir :
- Connaître et respecter le cadre règlementaire
- Adopter les standards internationaux pour la gestion des cyber-risques et la Cyber-Résilience des activités
- Adopter et/ou imposer à ses fournisseurs de services et hébergeurs le niveau de cyber-sécurité et de continuité approprié sur la base de certifications
- Concevoir ou transformer les infrastructures existantes en adoptant une conception intégrant la « by design »
- Sensibiliser, former et informer en continu l’ensemble des collaborateurs et les parties prenantes à la Cyber-Résilience
- Arbitrer sur la capacité de l’entreprise à déployer des moyens de Cyber-Résilience
Nous passons également en revue le cadre règlementaire, les standards internationaux, les ressources et outils à votre disposition, afin de faire face aux cyber-risques et vous permettre de développer la Cyber-Résilience de votre organisation.