La gestion du risque cyber est la clé de la croissance des entreprises
Une contribution de Jay Chaudhry, Directeur général et Président fondateur de Zscaler.
La technologie a transformé et amélioré les modes de gestion des entreprises, mais a également introduit toute une série de nouveaux risques en matière de cybersécurité. Les dirigeants d’entreprise se doivent de comprendre les risques liés à la cybersécurité et leur gestion afin de garantir la sécurité de leur organisation, de leurs clients et de leurs produits. Pour une organisation, la meilleure défense consiste à évaluer précisément ses risques, adopter des techniques de gestion efficaces et élaborer une stratégie de cybersécurité qui soit en phase avec son profil. Les technologies révolutionnaires, telles que la mobilité, le cloud, l’internet des objets et l’IA, ont radicalement bouleversé nos habitudes. Elles ont transformé nos modes de vie et notre approche du travail dans des proportions qui étaient encore inimaginables il y a quelques années. Si ces technologies ont procuré aux organisations une multitude d’avantages, elles ont par ailleurs transformé la conduite des affaires et engendré toute une série de cyber risques inédits. Dans la mesure où tout se passe désormais en ligne et en raison de l’omniprésence des données, les cyber risques constituent le principal point de bataille des organisations.
Selon les estimations, le coût moyen d’une violation de données s’élèvera à 4,45 millions de dollars en 2024, soit une augmentation de 15 % au cours des trois dernières années et rien n’indique que la tendance va s’inverser. Les dirigeants se doivent de comprendre les nuances de la cybersécurité et du risque. Ils doivent également savoir comment gérer efficacement ce risque afin de garantir la sécurité de leurs organisations, de leurs clients et de leurs produits.
La réalité du risque cyber
Le danger est partout. C’est une réalité incontournable qui s’étend également au monde des affaires. Avec l’avènement de l’économie numérique, les entreprises doivent désormais accorder une attention particulière à la sécurisation de leurs biens numériques, tels que les données des clients et des employés, de la même manière qu’elles le feraient pour leurs biens physiques comme les bureaux et les équipements. Les données numériques sont devenues la clé de voûte des entreprises. De ce fait, elles ont une valeur considérable pour les cybercriminels et les dommages que pourrait subir une entreprise à la suite d’une atteinte à sa réputation, d’un vol de propriété intellectuelle et d’une perte de revenus sont considérables.
Dans la mesure où il est impossible d’éliminer totalement les risques commerciaux et puisque la cybernétique constitue la plus grande partie de ces risques, les dirigeants devraient plutôt se concentrer sur la gestion des risques et déterminer les aspects essentiels à la mission de leur entreprise, puis définir la meilleure façon de les protéger.
Analyser les différents types de risques liés à la cybersécurité
Pour une bonne gestion des risques, les dirigeants sont tenus de procéder à une évaluation globale des risques de l’entreprise et d’évaluer la propension de leur organisation à assumer des risques. Outre les risques liés à la cybersécurité, il est crucial de prendre en compte d’autres types de risques tels que ceux liés aux opérations, au crédit et au marché, en les regroupant en trois catégories distinctes :
- Le risque atténuable – le degré de risque susceptible d’être atténué par des investissements dans la technologie, la formation et des ressources supplémentaires.
- Le risque transférable – le degré de risque susceptible d’être transféré à un tiers au moyen d’une assurance.
- Le risque acceptable – le degré de risque susceptible d’être toléré par l’entreprise (également dénommé perte acceptable).
Il est important de noter que tous les risques ne sont pas égaux. Dans le monde des affaires numérique contemporain, la cybercriminalité demeure, à tous points de vue, le risque le plus élevé pour les organisations modernes. Toutefois, une évaluation minutieuse de chacune de ces catégories de risques au regard des différents types de risques permettra aux responsables de prendre les bonnes décisions en matière de gestion des risques pour leur entreprise.
Les mandats réglementaires imposent de nouvelles exigences aux dirigeants
La cybernétique joue un rôle crucial dans les risques pour les organisations, comme le montrent les récentes actions des pouvoirs publics pour réguler des aspects de la cybersécurité, tels que le signalement des incidents et la fabrication de produits numériques.
À titre d’exemple de réglementation gouvernementale, citons le mandat en matière de cybersécurité de la Securities and Exchange Commission de juillet 2023, lequel contraint les entreprises publiques établies aux États-Unis à signaler les incidents de cybersécurité importants et à fournir des informations sur leurs stratégies de gestion des risques de cybersécurité. Cette mesure vise à garantir une communication cohérente et utile aux décideurs quant à l’exposition d’une organisation aux risques et aux incidents. Enfin, plus récemment, le Parlement européen et le Conseil de l’UE sont parvenus à un accord pour adopter une législation dans le cadre de la loi sur la cyber résilience. Elle prévoit l’obligation pour les fabricants d’appareils connectés de signaler les incidents de cybersécurité graves et les vulnérabilités activement exploitées.
Ces évolutions démontrent de toute évidence l’impact croissant de la cybersécurité sur les entreprises, mais j’estime qu’une approche équilibrée reste plus prudente au niveau de la réglementation gouvernementale. Certes, une certaine forme de supervision gouvernementale est tout à fait nécessaire, mais une réglementation excessive peut à contrario entraver l’innovation, nuire aux entreprises et, en définitive, à l’économie dans son ensemble.
Pour autant, le renforcement des mandats réglementaires oblige les chefs d’entreprise à bien appréhender l’impact commercial d’une violation de la cybersécurité dans le cadre de la gestion des risques.
Autres facteurs à prendre en compte pour la gestion des risques.
Les secteurs commerciaux et industriels se caractérisent par leur dynamisme et, dans le domaine de la cybersécurité, la technologie présente certaines limites. Les cybercriminels perfectionnent leurs techniques à un rythme alarmant et le nombre des enjeux ne fait que croître. Cependant, alors que les dépenses en cybersécurité atteignent un niveau record (soit quelque 219 milliards de dollars consacrés à des solutions traditionnelles telles que les pare-feu et les réseaux privés virtuels), pourquoi les cyber incidents ne diminuent-ils pas radicalement ?
Réponse : l’inertie. Les dirigeants doivent être conscients de l’inconvénient que représente l’inertie lorsqu’il s’agit de gérer les cyberrisques. En raison des désagréments inhérents au changement, de nombreuses organisations persistent à faire ce qu’elles ont toujours fait, à savoir mettre en œuvre des solutions technologiques traditionnelles dans l’espoir de régler le problème en augmentant leurs investissements. Mais j’ajouterais, comme le veut l’adage, pour évoluer, « il faut changer son fusil d’épaule ». En effet, la donne a radicalement changé, d’où la nécessité de modifier les modes actuels de cyberdéfense.
Pour atteindre cet objectif, il est crucial de modifier les mentalités, de réajuster les attentes et d’accepter le changement. Cette transformation se réalise de manière progressive et nécessite des dirigeants qui s’appuient sur des éléments non technologiques, tels que l’établissement d’une culture progressiste et consciente des risques. Cela implique l’intégration de la cybersécurité dans l’ensemble des processus grâce à un leadership transparent et une communication ouverte. J’ai pu moi-même constater que les dirigeants qui suivent ce cahier des charges sont ceux qui parviennent le mieux à gérer les risques, et donc à réduire la probabilité d’une cyberattaque majeure.
Dans les faits, les cyberattaques ne cesseront pas, d’autant plus que les technologies, telles que l’IA, progressent et que les acteurs de la menace trouvent de nouveaux moyens d’exploiter les vulnérabilités. La meilleure défense pour une entreprise est donc d’évaluer précisément les risques qui la menacent, d’employer des techniques pour bien les gérer et d’élaborer une stratégie de cybersécurité qui s’aligne sur le profil de risque de l’entreprise. Cette approche n’est pas universelle mais certaines étapes, y compris celles décrites précédemment, ainsi que des approches éprouvées telles que la mise en place d’une architecture Zero Trust, peuvent servir de fondement solide sur lequel une organisation peut s’appuyer pour renforcer ses défenses contre les cybermenaces.
Source : Forbes
