Comment tester la cyberrésilience de votre entreprise

By Sovereign Insurance
Partager cette page

Dans tous les secteurs, les cyberattaques préoccupent de plus en plus les organisations – et avec raison.

À l’échelle mondiale, le nombre moyen d’atteintes à la sécurité subies par des entreprises dans la dernière année a augmenté de 11 %, passant de 130 à 145, révèle l’étude sur les coûts du cybercrime réalisée en 2019 par Accenture et le Ponemon Institute1.  Ces coûts se multiplient à mesure qu’augmente le nombre d’attaques : selon CyberSecurity Ventures, les pertes mondiales liées aux cyberattaques atteindront les 6 billions $ US d’ici 2021, comparativement à 3 billions $ US en 20152.

D’après un nouveau rapport d’Aon intitulé « Prepare for the expected: Safeguarding value in the era of cyber risk »les entreprises subissent des pertes financières sous la forme de dépenses liées à des crises immédiates, d’amendes réglementaires et de pertes de revenus dues à la perturbation de leurs activités. Sans compter les risques pour leur réputation, puisqu’une attaque peut éroder leur valeur marchande, anéantir la fidélité à leur marque et restreindre leur transformation numérique, note le rapport d’Aon.

Les entreprises investissent judicieusement dans la cybersécurité (CyberSecurity Ventures prévoit des dépenses de plus de 1 billion $ US de 2017 à 2021), mais aucune mesure n’est radicalement efficace. Il est donc crucial d’établir un plan de cyberrésilience pour savoir comment votre organisation résistera en cas de cyberattaque ou d’atteinte à la protection des données, comment elle interviendra et comment se déroulera la reprise de ses activités.

Les plans de cyberrésilience diffèrent d’une organisation à l’autre, mais tous ont en commun la nécessité d’être testés. Une simulation de crise permet aux organisations d’évaluer la rapidité et l’efficacité de leur réaction et de leur intervention à l’égard des divers cyberrisques. Comme le fait remarquer Deloitte dans son rapport « Cinq étapes essentielles pour améliorer la cybersécurité » 4 , la plupart des organisations ont mis en place un processus de gestion des incidents liés à la sécurité, mais rares sont celles qui l’ont testé.

À l’échelle mondiale, le nombre moyen d’atteintes à la sécurité subies par des entreprises dans la dernière année a augmenté de 11 %, passant de 130 à 145, révèle l’étude sur les coûts du cybercrime réalisée en 2019 par Accenture et le Ponemon Institute1.

Le rapport fait état de questions clés que les organisations doivent se poser, par exemple : « Avec qui y a-t-il lieu de communiquer pendant et après un incident? » et « Quel temps vous faudra-t-il pour remédier à une violation de sécurité et rétablir les activités normales de l’organisation? » « Cependant, trouver les réponses n’est qu’un élément de l’équation, peut-on lire dans le rapport. Il est primordial de les tester. »

 Voici quatre pratiques exemplaires pour tester votre plan de cyberrésilience.

1) Assurez-vous que tout le monde est sur la même longueur d’onde. Comme dans toute initiative d’envergure, le soutien de la direction représente la première étape indispensable pour créer et tester un plan de cyberrésilience. Comme le constate un spécialiste de la cybersécurité, sans l’appui de la direction, il est impossible pour les responsables de la cybersécurité de planifier une défense efficace contre les menaces 5 . De plus, comme la cybersécurité est l’affaire de tout le monde, tous les employés de l’organisation doivent être informés du plan et connaître leurs rôles et responsabilités.

2) Réalisez une analyse de vulnérabilité. En informatique, une vulnérabilité s’entend d’une faiblesse que peuvent exploiter les cyberattaquants dans un appareil ou un système. Par une analyse (ou évaluation) des vulnérabilités, les entreprises peuvent identifier les maillons les plus faibles et les plus susceptibles d’être ciblés dans leur système et, par conséquent, les plus pertinents dans le plan de cyberrésilience. 6 

3) Menez des simulations de cyberattaques. Comme le souligne Deloitte, les simulations de cyberattaques sont des techniques interactives qui plongent les participants dans un scénario d’attaque simulé dans le but d’aider l’organisation à évaluer sa réaction et son état de préparation. Par exemple, les organisations pourraient vouloir tester leurs défenses par rapport aux courriels d’hameçonnage, des courriels frauduleux ayant pour but d’amener les employés à transmettre à leur insu des mots de passe, des renseignements financiers ou des pièces jointes malveillantes (documents d’apparence légitime qui cachent en fait un virus ou un logiciel malveillant).

4) Réévaluez votre plan et améliorez-le. « Il est inutile de procéder à des attaques simulées si ce n’est pas pour optimiser les processus d’intervention en cas d’incident », déclare un autre spécialiste de la cybersécurité.7  Déterminez ce qui a bien fonctionné et ce qui n’a pas fonctionné dans votre plan d’intervention. Définissez les points à améliorer et modifiez en conséquence les processus nécessaires.

Au terme de ces étapes, si vous estimez avoir encore besoin d’assistance ou de conseils, votre assureur pourra peut-être vous aider. À la Souveraine Assurance, l’assurance n’est qu’une des stratégies de notre vaste gamme de solutions de gestion des risques visant la protection des bénéfices et de la réputation de votre entreprise en cas de cyberattaque. Par exemple, en plus de la protection financière qu’offrent généralement les polices d’assurance technologie ou de cyberassurance, la Souveraine fournit des services de préparation aux atteintes et de gestion de crise pour vous aider à surmonter les difficultés liées à la protection des données.

Le risque de cyberattaque sera moins accablant si vous avez testé votre plan et savez qu’il tient la route.


Sources :
1. https://www.accenture.com/fr-fr/insights/security/etude-cout-du-cybercrime
2. https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021
3. https://aon.mediaroom.com/csuitecyberreport
4. https://www2.deloitte.com/content/dam/Deloitte/ca/Documents/risk/ca-fr-risk-cyber-5-steps.pdf
5. https://www.cpomagazine.com/cyber-security/how-cybersecurity-leaders-can-best-navigate-the-c-suite/
6. https://blog.rsisecurity.com/best-practices-for-testing-your-cyber-incident-response-plan
7. https://www.siemplify.co/blog/testing-incident-response-processes

Partager cette page

Pour vous offrir la meilleure expérience possible, nous utilisons des témoins de connexion sur notre site Web. Consultez notre Politique de confidentialité pour en apprendre davantage.