La série de balados « Let`s talk » : L`approche orientée entreprise

Services aux sociétés privées PwC / La série de balados « Let’s talk »
L’approche orientée entreprise
contre les cybermenaces
Les sociétés privées sont de plus en plus ciblées par
des cybercriminels astucieux, ce qui accroît les risques
liés à l’exploitation, aux finances et à la réputation
auxquels elles sont exposées. Les intrusions étant
aujourd’hui inévitables, les sociétés doivent remplacer
leurs approches autrefois axées principalement sur la
prévention par des approches « résilientes » sur lesquelles
elles appuieront leur stratégie de cybersécurité efficace.
Qui est principalement responsable du
programme de cybersécurité dans votre
entreprise?*
2
1
direction
25 La(propriétaire/chef
de
la direction/conseil
d’administration)
47
%
12
La fonction risque
d’entreprise
sécurité
13 Ladontfonction
c’est le rôle
Les récents progrès de la technologie et de la connectivité
ont considérablement transformé notre façon de faire
des affaires. Les sociétés hyperconnectées d’aujourd’hui
qui échangent tous les jours de grandes quantités de
données avec leurs clients et leurs fournisseurs sont
extrêmement tributaires de services interconnectés.
Les progrès technologiques offrent malheureusement
aux cybercriminels de nouveaux moyens de livrer des
attaques électroniques et d’infiltrer les entreprises.
Applications tierces, infonuagique, fournisseurs
et utilisateurs finaux créent tous des ouvertures
pouvant être exploitées par les cybercriminels.
Par ailleurs, les cybercriminels d’aujourd’hui ne
correspondent plus au profil établi du cyberpirate
solitaire. Les sociétés peuvent aujourd’hui être ciblées
par des États-nations, des organisations criminelles,
des « hacktivistes » et même des employés. Ces
agresseurs très déterminés sont motivés par des
gains économiques, financiers ou politiques et ont les
moyens organisationnels, technologiques et financiers
de lancer des attaques ciblées et souvent tenaces.
De plus, rien ne les arrête. De dire Jason Green, premier
directeur de la cyberrésilience chez PwC Canada :
« Les sociétés ne peuvent plus se protéger derrière un
pare-feu. Les intrusions sont inévitables et les sociétés
doivent à présent apprendre à être résilientes afin de
réduire au minimum les conséquences de ces intrusions
sur leurs finances, leur réputation ou leurs activités. »
*96 personnes ont répondu à cette question de sondage
Services aux sociétés privées PwC
www.pwc.com/ca/private
La série de balados « Let’s talk » / L’approche orientée entreprise contre les cybermenaces
La cyberrésilience, un enjeu commercial
« Pris isolément, les risques liés à la cybersécurité ne représentent
pas grand-chose pour les activités de l’entreprise », observe Ali
Varshovi, directeur, Cyberrésilience chez PwC Canada. « Or le risque
que représentent les intrusions pour les finances, la réputation et
l’exploitation est bien réel. La perte de données sur les clients peut en
effet grandement nuire à la marque, aux relations avec la clientèle et
aux ventes d’une société. »
Malgré cela, les organisations ne font pas souvent le lien entre
cyberrisque et risque d’entreprise. Quand elles sont informées des
tentatives déjouées d’hameçonnage ou autre, les équipes de direction
ne comprennent pas toujours l’importance que revêt la cybersécurité
pour l’entreprise.
« Les chefs d’entreprise doivent savoir à quel genre de risque une
cybermenace les exposera », poursuit M. Varshovi. S’agira-t-il d’un
risque financier, d’un risque lié à la réputation de la marque ou
d’un risque opérationnel? Cette information aide les dirigeants
à comprendre l’attitude qu’ils doivent adopter à l’égard des
cybermenaces et les raisons pour lesquelles ils devraient s’en
inquiéter. »
Mettre les cybermenaces en correspondance avec des notions plus
familières aux entreprises permet aussi de voir en quoi la technologie
soutient et rend possibles les activités de tous les jours.
“
Pour amorcer une telle réorganisation des priorités,
les sociétés doivent considérer la cybersécurité
comme un enjeu commercial, et non comme un
simple problème de technologie.
”
Importance de la cyberrésilience
Comme les cyberrisques sont des risques d’entreprise, les sociétés
doivent s’assurer qu’elles adoptent une approche orientée entreprise
pour élaborer leur stratégie de cyberrésilience.
Tout ne pouvant être mis à l’abri des cybercriminels endurcis
d’aujourd’hui, les sociétés doivent dresser une liste des systèmes
et des actifs à protéger en priorité. Cette liste doit s’appuyer sur
une appréciation des risques d’entreprise globaux ainsi que sur les
obligations fiduciaires ou réglementaires de protection des données.
Connaître les vulnérabilités et évaluer les menaces
Une fois la liste des éléments à protéger en priorité établie, les
sociétés doivent évaluer la sécurité de leurs systèmes afin de mettre
au jour leurs vulnérabilités éventuelles. Une telle évaluation englobe
les points d’accès à partir de postes éloignés, de sous-traitants, de
fournisseurs ou d’autres tiers connectés à la société.
Pour modéliser les menaces, il est important d’adopter une approche
descendante, orientée entreprise. D’observer M. Green : « La
modélisation est propre à la situation et à la stratégie de la société.
Elle doit, entre autres, tenir compte de l’endroit où la société exerce
ses activités ainsi que de la technologie que ses employés utilisent.
Personne-ressource
Ali Varshovi
Directeur, Cyberrésilience
416 814 5775
[email protected]
Personne-ressource
Jason Green
Directeur, Cyberrésilience
416 814 5709
[email protected]
Ces critères permettent de préciser les scénarios de menace possibles,
les agresseurs éventuels et les cibles probables et, partant, d’orienter
la stratégie d’investissement en solutions de sécurité. »
Les cibles peuvent être autant des données que des ressources, des
installations, des partenaires, des clients (internes ou externes)
ou des employés de la société. « Les cybercriminels ne visent pas
nécessairement la société qu’ils attaquent, explique M. Varshovi. La
plupart du temps, ils veulent s’en servir pour atteindre une autre
entreprise. »
Avantage d’une approche de cyberrésilience orientée entreprise
Lorsque les efforts de cyberrésilience sont orientés entreprise, ils
sont concentrés sur la réduction des principaux risques d’entreprise
et la défense des actifs les plus précieux de l’organisation. L’approche
orientée entreprise a aussi d’autres avantages importants. Les
entreprises qui adaptent les investissements et les approches en
matière de cybersécurité à la stratégie et aux besoins commerciaux
peuvent se protéger adéquatement et éviter les coûts d’une
surprotection inutile. Comme le précise M. Varshovi : « Commencer
par l’entreprise correspond à se concentrer sur les principales
priorités afin de sélectionner la technologie, les processus et les
procédures qui sont pertinents pour les risques et les scénarios de
menaces établis lors de la modélisation des menaces. »
Quelques initiatives à effet rapide pour commencer
La première mesure à prendre pour améliorer la cyberrésilience
d’une entreprise consiste à dresser un plan de cybersécurité
orienté entreprise. Selon MM. Green et Varshovi, les
sociétés peuvent toutefois prendre dès maintenant les
initiatives qui suivent pour accroître leur sécurité :
• Élaborer un plan d’intervention en cas d’intrusion. Un tel plan est
essentiel, car les entreprises doivent être en mesure d’intervenir
rapidement et efficacement en cas d’intrusion. La direction et les
équipes des services de sécurité, des technologies, des ressources
humaines, des relations publiques et des services juridiques
doivent participer conjointement à l’élaboration du plan. Des
communications destinées à l’interne et à l’extérieur de l’entreprise
doivent aussi être prévues, rédigées et prêtes à être diffusées au
moment nécessaire.
• Procéder à une évaluation superficielle de la cyberréactivité
afin de déterminer ce qui est important pour l’organisation avant
d’entreprendre une analyse plus poussée. La société fait-elle ce
qu’il faut du point de vue de la conception?
• Instaurer des mesures de sécurité élémentaires. Protéger
le périmètre de l’entreprise au moyen de technologies de
sécurité et mettre en place des contrôles quand il est évident
qu’ils sont nécessaires. De telles mesures ne s’accompagnent
pas nécessairement de nouvelles dépenses d’investissement
dans la technologie; elles consistent souvent simplement
à mettre en œuvre un nouveau processus, une nouvelle
procédure ou de nouvelles habitudes. Il ne faut pas oublier
non plus de vérifier si la couverture d’assurance et les contrats
tiennent compte des questions liées à la cybersécurité.
Personne-ressource
Saul Plener
Leader national, Services aux
sociétés privées
416 941 8299
[email protected]
Services aux sociétés
privées PwC
www.pwc.com/ca/private
© PricewaterhouseCoopers LLP/s.r.l./s.e.n.c.r.l., une société à responsabilité limitée de l’Ontario, 2015. Tous droits réservés. PwC s’entend du cabinet canadien, et quelquefois du réseau mondial de
PwC. Chaque société membre est une entité distincte sur le plan juridique. Pour obtenir de plus amples renseignements, visitez notre site Web à l’adresse : www.pwc.com/structure. 2222-44-7.20.2015