Quatre entreprises sur cinq ont remarqué une hausse des cyberattaques cette année, probablement alimentée par la pandémie de COVID-19. Les tentatives de phishing ont augmenté de 600 % depuis la fin du mois de février. 55 % des attaques sont attribuées aux organisations criminelles, tandis que 22 % d’entre elles découlent d’erreurs humaines.Source : Fintech News
De plus en plus d’entreprises accélèrent leur transition numérique tout en investissant du temps et des efforts dans la mise à niveau de leur infrastructure de sécurité, avec très peu de résultats. Quelles erreurs commettent-elles ? Pourquoi leur stratégie de cybersécurité ne porte-t-elle pas ses fruits en cette période critique ?
La sécurité est une décision stratégique, et non un produit. La transformation opérationnelle est bien plus qu’une ambition alimentée par la technologie. C’est un changement majeur en termes de réflexion commerciale. Il s’agit de poser les bonnes questions et de transformer les modèles commerciaux à travers l’innovation.
Il est temps de redémarrer le système : voici quelques défis et idées reçues à combattre lors de la conception d’une feuille de route efficace en matière de cybersécurité :
- Traiter la sécurité comme un problème purement technique : cela incite à prendre de mauvaises décisions en matière d’investissement et empêche de penser en dehors des sentiers battus. La cybersécurité est une affaire de personnes, de processus et de technologie.
- Les indicateurs sont rois : le fait de surveiller les indicateurs passés, tels que le nombre d’attaques mensuelles, ne permet pas d’assurer la protection de vos données. Concentrez-vous sur ce que vous pouvez contrôler : optimisez le modèle de gouvernance.
- Se cacher derrière les réglementations : la conformité ne va pas de pair avec la protection. C’est la mise en œuvre qui détermine les résultats obtenus en matière de sécurité. Évitez les dépenses excessives, choisissez un partenaire IT qui vous offre des audits de conformité sans frais supplémentaires. Ces derniers devraient faire partie des services standards.
- Des investissements informatiques basés sur des attentes irréalistes : il est indispensable d’apprendre de ses erreurs et de mettre en place des mesures précises et réalisables lorsque l’on souhaite adopter des habitudes de sécurité plus saines.
- Faire passer les cadres avant le contexte : les normes de cybersécurité, telles que le NIST ou ISO 2700x, ne suffisent plus lorsque les entreprises dépassent un certain niveau de maturité. La contextualisation devient plus rigoureuse et une approche agile de la gestion informatique est désormais indispensable.
- Un budget plus élevé va de pair avec une sécurité plus élevée : plus d’argent ne signifie pas toujours optimisation de la protection. La meilleure façon d’obtenir un bon retour sur investissement et une sécurité élevée est de choisir un fournisseur IT pluridisciplinaire.
- Ne pas comprendre entièrement les risques liés aux tierces parties : l’externalisation des principales fonctions de l’entreprise peut s’avérer catastrophique. Pour éviter cela, l’équipe de sécurité doit être pleinement impliquée dans les prises de décision aux côtés des dirigeants.
- Une tolérance zéro concernant la manière d’aborder les risques liés à la cybersécurité : ce n’est pas réaliste. Une prise de décision efficace en matière de risques et la mise en place de plans d’urgence doivent être considérés comme des éléments essentiels, et non des objectifs impossibles à atteindre.
- Se concentrer sur les menaces actuelles et récurrentes : la priorité doit être de mettre en place une sécurité adaptée via des investissements agiles et une optimisation informatique constante. Restez maître des éléments que vous pouvez contrôler et soyez vigilant. Ne vous contentez pas seulement de réagir à un environnement en constante évolution.
- Donner la priorité au contrôle plutôt qu’aux performances : la plupart des DSI et des dirigeants s’inquiètent davantage du contrôle de l’IT que des résultats concrets. Les mesures axées sur les résultats (ODM) sont un excellent outil de priorisation en matière de cybersécurité qui favorise une communication pertinente au sein de l’équipe.
Adaptez-vous pour survivre, suivez la cadence pour protéger votre entreprise
Voyez plus grand. Agissez vite, commencez dès maintenant ! Si vous ne disposez pas d’une infrastructure informatique basée sur le cloud, vous êtes définitivement dans une position désavantageuse et vos données d’entreprise sont très vulnérables.
Une stratégie de sécurité cloud n’est plus une question de choix, c’est la norme. De nombreuses entreprises ont tardé à passer au cloud pour de mauvaises raisons et en paient aujourd’hui le prix. Voici les raisons pour lesquelles elles ont pris du retard :
- la peur de perdre le contrôle sur les données et les opérations ;
- un manque de savoir-faire technique spécifique ;
- pour éviter d’encourir des dépenses élevées liées aux audits et à la conformité ;
- car elles ne tiraient pas profit d’investissements existants en termes d’équipements informatiques ;
- en raison de préoccupations et de problèmes liés à une faille de sécurité des données ;
- à cause d’une idée reçue selon laquelle l’informatique basée sur le cloud est plus coûteuse;
- un manque de continuité opérationnelle pendant la transition vers le cloud.
La réalité ? Lorsque vous sous-traitez votre transition vers le cloud à un fournisseur de services de gestion informatique, toutes ces préoccupations disparaissent et votre entreprise bénéficient d’avantages supplémentaires :
- RENTABILITÉ, transparence et flexibilité ;
- DES OFFRES DE SERVICE CLOUD PERSONNALISÉ adaptées aux besoins et aux objectifs de l’entreprise ;
- IT PREMIUM avec support local, 24h/24, 7j/7 ;
- SÉCURITÉ DE POINTE pour la gestion de vos données, la continuité de vos activités et solutions de récupération en cas de sinistre ;
- INFRASTRUCTURE INFORMATIQUE CONFORME AUX RÉGLEMENTATION et audits gratuits ;
- TCO OPTIMAL (coût total de possession IT) et optimisation des ressources à travers toutes les activités commerciales grâce à des options informatiques économiques.
Source : GartnerFeuille de route en matière de cybersécurité | 10 mesures à prendre pour commencer
1. Évaluez et mettez à jour vos performances et vos processus en matière de cybersécurité.
2. Identifiez les coûts liés à l’infrastructure informatique qui peuvent être optimisés.
3. Envisagez de mettre vos capacités à niveau en matière de cybersécurité grâce à une externalisation de l’IT intelligente.
4. Adoptez des technologies de l’information basées sur le cloud ou évaluez vos vulnérabilités dans le cloud.
5. Renforcez votre réseau dédié au télétravail à travers des formations et la technologie.
6. Configurez ou renforcez les outils et la procédure de sauvegarde et de récupération en cas de sinistre.
7. Restez conforme au RGPD et aux autres règlementations et lois du secteur.
8. Formez vos employés et assurez-vous qu’ils respectent les meilleures pratiques en matière de protection des données.
9. Faites de la rétention du personnel une priorité et envisagez d’adopter une approche « Lean Team ».
10. Assurez-vous que les cadres et le personnel technique travaillent ensemble dans le but d’innover et de développer l’entreprise.
« D’ici 2023, 30 % de l’efficacité des responsables de la sécurité des systèmes d’information (RSSI) sera directement mesurée en fonction de leur capacité à créer de la valeur pour l’entreprise. » Cela signifie que nous assistons à la montée du leadership collaboratif avec une responsabilité partagée et que la cybersécurité n’est plus seulement influencée par la technologie, mais est devenue un sujet clé dans les programmes stratégiques des PDG et un point de mire opérationnel.
La stratégie de cybersécurité agile | Principes fondamentaux
1. Choisir un cadre de sécurité évolutif
Adoptez des méthodes qui se sont avérées efficaces, par exemple la méthode CARTA : une évaluation continue du risque adaptatif et de la confiance. Vous pouvez également élaborer vos propres méthodes : créez des environnements de développement agile et donnez vie à des écosystèmes plus solides et plus stables avec l’aide de partenaires fiables et de premier choix.
2. Détecter et anticiper
Identifiez l’origine des failles, et non les personnes à tenir pour responsables. Appliquez la gestion du comportement anti-hameçonnage (APBM). Protégez la passerelle de messagerie. Isolez les systèmes vulnérables. Réduisez la dépendance vis-à-vis des données personnelles statiques, augmentez les données dynamiques pour l’identification. Innovez, testez et surveillez régulièrement, et pas seulement en période de turbulence. Restez vigilant !
3. Instaurer la confiance à travers la collaboration
Le nouvel écosystème du secteur numérique exige de passer d’une conformité qui se résume à cocher des cases à la prise de décision en matière de risques : grâce à une communication efficace et centrée sur les personnes, qui apporte une valeur commerciale.
4. Encourager et recruter des talents
Investissez du temps et des ressources dans vos stratégies d’embauche et d’expérience employé. Les bons éléments expérimentés en matière de cybersécurité sont actuellement en forte demande. Envisagez d’autres viviers de talents émergents ou travaillez en partenariat avec des équipes informatiques.
Source : Gartner