Gérer le risque cyber de A à Z : conseils pour les dirigeants
En 2023, le baromètre d'Allianz définissait le risque cyber comme le premier risque pour les dirigeants français.
En 2023, le baromètre d’Allianz définissait le risque cyber comme le premier risque pour les dirigeants français. Pourtant, ce risque est parfois négligé par les entreprises en raison de sa nature complexe. En effet, le risque cyber a une double-spécificité : il est caractérisé par sa dimension malveillante et un vecteur technique, ce qui complexifie sa compréhension par les non-initiés. Pourtant, la gestion de ce risque requiert l’attention et l’engagement de l’ensemble des fonctions des organisations, de la sécurité opérationnelle jusqu’au comité exécutif. Le risque cyber est avant tout un risque économique qui peut être traduit en termes financiers, d’où l’émergence du concept de cyber risk economics.
Le contexte
Afin d’initier correctement la gestion rationnelle du risque cyber, il convient dans un premier temps de l’évaluer avec méthode pour pouvoir mettre en place les mesures adaptées à la situation. De plus, la connaissance et la compréhension des menaces doivent être mises en perspective avec les ambitions stratégiques de l’organisation : il s’agit de la base de toute démarche de strategic risk management. Pour entamer notre parallèle, on peut illustrer cette étape de cette manière : lorsque l’on lance un projet de construction d’une maison individuelle, on étudie en amont le contexte du terrain et les risques associés : quels sont les commerces à proximité ? Trouve-t-on une école à une distance acceptable ? Le terrain est-il en zone inondable ? Le quartier fait-il souvent l’objet de cambriolages ? Y a-t-il des projets immobiliers en cours qui risqueraient d’avoir un impact sur la valeur de mon terrain ? Ce contexte a un poids important dans les décisions, et il en va de même en ce qui concerne la gestion du risque cyber.
Un langage commun
Pour évaluer son risque cyber de manière précise et efficace, il est nécessaire de s’appuyer sur des indicateurs fiables, actionnables et justifiables afin de faire des arbitrages de façon éclairée. La cyber risk quantification (CRQ) est l’outil favorisant une démarche saine de gestion rationnelle du risque cyber. En effet, elle permet de générer des métriques financières qui rendent le risque et ses conséquences compréhensibles de tous, offrant ainsi un langage commun entre les équipes techniques d’une part et les instances de gouvernance d’autre part, permettant à chacun de jouer un rôle actif dans les décisions liées à la gestion du risque. En effet, comment mener à bout un projet de construction immobilière efficace si le propriétaire, le chef de chantier, l’architecte et les autres corps de métiers présents sur le chantier ne se comprennent pas ?
Une feuille de route personnalisée grâce à du renseignement ciblé
La compréhension par toutes les parties prenantes des enjeux liés au risque cyber, rendue possible grâce aux indicateurs financiers, permet de passer à l’étape suivante : l’élaboration d’une feuille de route des investissements de sécurité nécessaires pour améliorer sa posture défensive. Cela se concrétise à travers l’élaboration d’une stratégie de contrôle qui vise à atténuer, accepter ou partager le risque, avec une cyber assurance par exemple. L’enjeu est ici de déterminer son risk appetite, condition sine qua non à toute gestion de risque maîtrisée. Il convient d’adopter également à cette étape une logique de retour sur investissement de sécurité ou ROSI : il serait contre-productif d’acquérir un panel de solutions pour se protéger de menaces qui ne sont en réalité pas celles qui présentent le plus de risque, sans analyse des intersections potentielles et des priorités réelles.
Par ailleurs, comprendre avec précision les facteurs externes malveillants (donc l’état de la menace cyber) et les mettre en regard des spécificités de votre organisation va permettre d’affiner d’autant plus votre analyse de risque. La prise en compte de données de Cyber Threat Intelligence peut ici catalyser la valeur de l’analyse. Vous n’achèteriez pas des dispositifs parasismiques pour une maison dont les rapports géologiques écartent formellement le risque de tremblements de terre. Il en va de même pour le risque cyber des organisations !
La modélisation de son assurance
C’est à cette étape, après avoir évalué le risque avec méthode et décidé d’y apporter des mesures visant à l’atténuer, qu’un dialogue avec un assureur ou un courtier peut s’avérer utile. La modélisation d’une couverture assurantielle, combinée à celle des risques de son organisation, facilite la visualisation de son risk appetite et permet une analyse objective des polices. Elle participe à la construction d’une relation de confiance avec son assureur en démontrant son engagement dans un cycle vertueux de réduction des risques. Il ressortira de cette démarche une protection plus appropriée, des polices plus justes et plus équitables. Dans le cadre d’une assurance habitation, démontrer à son assureur qu’un système d’alarme performant a été mis en place pourra conduire à une couverture adaptée, en assurant des sinistres qui n’auraient pas été couverts jusqu’ici.
L‘écosystème
Enfin, pour gérer de façon exhaustive son risque cyber, il convient de prendre en compte l’écosystème dans lequel son organisation évolue. En raison de l’interconnexion des acteurs économiques, il est nécessaire d’inclure clients, partenaires et fournisseurs dans votre démarche d’analyse de risque. La compromission d’un acteur de votre écosystème peut indirectement provoquer la vôtre, c’est l’attaque par rebond. Prendre en compte ses parties prenante dans une analyse de risque approfondie – en leur délivrant des recommandations - peut permettre également à vos partenaires d’optimiser leur propre maturité défensive et de faire monter en compétences l’ensemble de l’écosystème.
Tous ces éléments démontrent l’importance de rationaliser la gestion du risque cyber afin de pouvoir le connaître, le réduire et le partager. Pour en avoir une vision exhaustive, l’approche la plus complète est celle qui allie connaissance de la menace, évaluation de sa posture défensive et modélisation des impacts, générant ainsi des indicateurs fiables et actionnables, compréhensibles de toutes les parties prenantes de l’organisation. Et finalement, ce n’est ni plus ni moins qu’une bonne administration de sa maison.