Dans le climat actuel où les cyberattaques font de plus en plus la une
des journaux, aucune organisation n’est à l’abri de l’anxiété suscitée
par cette menace. Certaines études indiquent que 64 % des
entreprises dans le monde ont été victimes d’au moins une
cyberattaque au cours de l’année écoulée. Cependant, cette “cyber
anxiété” ne se traduit pas par des actions concrètes en matière de
cybersécurité au plus haut niveau du management de la hiérarchie.
De plus, selon un sondage réalisé auprès de dirigeants
d’entreprises, 65 % d’entre eux estiment que, malgré leurs
investissements, leur organisation demeure exposée au risque d’une
attaque matérielle au cours des 12 prochains mois. Il est donc
évident que malgré les discours rassurants de nombreuses
organisations sur la priorité accordée à la cybersécurité, cet
engagement n’est pas véritablement ressenti par les dirigeants.
Cependant, il existe des moyens pour les organisations de renforcer
leur résilience face aux cyberattaques et de rétablir la confiance au
sein du conseil d’administration.
Un nouveau paysage des menaces
Tout d’abord, il est utile de rétablir le contexte de la cybersécurité tel
qu’il se présente aujourd’hui. Si de nombreuses organisations sont
conscientes des risques liés à l’ingénierie sociale, comme les e-mails
de phishing, et mettent en place des formations et des outils de
filtrage, cela ne suffit plus à assurer une sécurité totale. En effet, les
attaques contournant les systèmes d’authentification multi-facteurs
(MFA) se multiplient. Ces attaques, qui combinent l’ingénierie sociale
et d’autres techniques de piratage, contournent les dispositifs de
MFA et mettent en évidence les limites de cette méthode de
protection. Même les grandes marques et les fournisseurs de services
cloud, tels qu’Uber, Reddit et Twilio, ont été récemment touchés.
Il convient également de prendre en compte un nouvel élément : la
montée en puissance des outils d’intelligence artificielle générative
qui rendent plus facile que jamais l’automatisation et la création d’e-
mails de phishing extrêmement convaincants. Face à ces nouvelles
menaces, il est primordial de prendre des mesures préventives
efficaces.
Et si l’on pouvait éviter l’inévitable
Une interrogation majeure émerge : si des mesures préventives
existent, pourquoi ces attaques continuent-elles ? Cela s’explique en
partie par le manque de dialogue entre les membres du conseil
d’administration et les responsables de la sécurité des systèmes
d’information (RSSI). Moins de la moitié des membres du conseil
d’administration interagissent régulièrement avec les RSSI, et près
d’un tiers ne les rencontrent qu’à l’occasion de présentations. Ce
manque de dialogue témoigne du peu d’attention et de
responsabilité accordées à la cybersécurité. Les RSSI sont souvent
conscients des défis, mais ils se retrouvent souvent sans les
ressources, le financement ou le soutien nécessaires pour apporter
des changements significatifs. Cette situation est encore plus
préoccupante dans les petites organisations, où les équipes
informatiques peuvent travailler en isolation et être incapables
d’influencer les décisions stratégiques.
Vers une organisation proactive : passage à l’action
Il devient nécessaire de changer de perspective. La cybersécurité ne
doit pas être considérée comme relevant uniquement du
département informatique, mais comme une question stratégique et
organisationnelle majeure. Il est également important d’aborder la
cybersécurité lors de réunions non techniques et d’encourager les
discussions sur ce sujet. En remettant en question les informations
présentées, en partageant des anecdotes personnelles ou en
félicitant activement ceux qui s’impliquent dans les changements
organisationnels, les dirigeants peuvent amorcer un véritable
changement.
Si la menace que représentent les dommages à la réputation et aux
finances en cas d’attaque ne suffit pas à susciter une action, il est
important de considérer les exigences réglementaires futures. Les
meilleures pratiques en matière de cybersécurité et de MFA
résistante aux attaques de phishing pourraient devenir des exigences
réglementaires, en particulier pour les fournisseurs de services cloud
qui doivent protéger les actifs numériques de leurs clients. Anticiper
ces demandes futures en investissant dès maintenant dans la
cybersécurité permettra aux entreprises de rester compétitives sur le
marché.
Il est grand temps de changer la culture de la peur qui entoure la
cybersécurité au sein du conseil d’administration. Les dirigeants
doivent se sentir à l’aise pour aborder le sujet de la cybersécurité et
doivent accorder à cette question l’importance qu’elle mérite. En
prenant des mesures concrètes et en investissant dans des solutions
préventives, les entreprises peuvent renforcer leur résilience face aux
cyberattaques et protéger leurs intérêts à long terme.
Commentaires