Innover plutôt que réagir – faire passer la cybersécurité à la vitesse supérieure
Publié le 24 juin 2024
- Cybersécurité
Le paysage de la cybersécurité en 2024
La protection contre les cyberattaques est l’un des défis majeurs de notre époque. Aujourd’hui, bien que les estimations précises du coût des cyberattaques soient toujours difficiles à calculer, personne ne peut nier que la cybersécurité est un sujet qu’il faut traiter. Trop souvent, nous entendons parler d’organisations soumises à des cybermenaces, les attaquants cherchant à diffuser de la désinformation, à gagner de l’argent de manière frauduleuse, à déstabiliser des infrastructures critiques ou à faire de l’espionnage. Les cyberattaquants, qu’il s’agisse de criminels, de gouvernements ou d’hacktivistes, disposent désormais de plus de moyens pour agir : plus de ressources et plus d’incitations, et ils utilisent tous les angles possibles, jusqu’à améliorer leur attaque grâce à l’utilisation de l’IA
Pour ajouter à ce défi croissant, les crises géopolitiques ont considérablement renforcé la situation de la menace dans le monde entier. Cela a conduit les entreprises à explorer le découplage de leur système d’information pour faire face aux réglementations plus strictes qui exigent une approche différente dans certains pays.
En outre, de nombreux secteurs doivent respecter des exigences strictes en matière de réglementation et de conformité, et bien d’autres se profilent à l’horizon : AI Act/ AI Exec order de Biden, DORA, FCA/PRA OpRes, NIS2 et les réglementations relatives aux infrastructures critiques dans le monde entier.
Les professionnels de la cybersécurité doivent relever le défi de traiter ces sujets rapidement, efficacement et de manière rentable. Le moyen d’y parvenir est de repenser la cybersécurité : d’une fonction de défense réactive à une fonction d’habilitation et d’accélération du progrès et de l’innovation. Ce n’est que par ce changement d’état d’esprit de la cybersécurité que les entreprises peuvent se différencier de leurs concurrents et générer des avantages décisifs.
Voici trois recommandations pour faciliter ce changement :
La cyber-résilience est devenue une nécessité absolue ces dernières années, avec de nombreuses réglementations entrant sur le marché sous différents angles, notamment DORA, NIS2, CRA (Cyber Shield aux États-Unis).
Malgré des investissements croissants, le degré de maturité dans ce domaine reste faible, avec des disparités importantes entre les organisations et les secteurs.
Notre benchmark de cybersécurité* indique que la maturité globale des entreprises augmente, le secteur des services financiers arrivant en tête, avec un niveau de maturité de 60 % (contre une moyenne de 53 %).
Quelles différences peut-on observer entre les secteurs hautement réglementés et les secteurs non réglementés ?
Les secteurs fortement réglementés, tels que la finance, le secteur de l’énergie et les sciences de la vie, ont tendance à avoir une plus grande maturité cyber en raison de l’importance des investissements et de la surveillance réglementaire. Pour la finance, cela s’explique par les investissements traditionnellement élevés et la surveillance exercée par les réglementations, notamment DORA, NIS2, CRA (Cyber Shield aux États-Unis).
Si vous opérez dans un secteur réglementé, les entreprises doivent se concentrer sur des tests pragmatiques efficaces qui mettent en évidence les lacunes en matière de maturité et sur une « couverture convergente ».
Bien que les secteurs non réglementés ne soient pas encore soumis à la même pression, à moyen terme, il sera essentiel que chacun fasse ce qui est nécessaire plutôt que ce qui est exigé en matière de cybersécurité. Soyez à l’affût des futures réglementations, intégrez des groupes sectoriels plus larges pour apprendre les meilleures pratiques de vos pairs et utilisez des campagnes de sensibilisation, des formations et des exercices de crise pour souligner l’importance de la maturité cybernétique pour votre organisation.
L’amélioration continue de votre conformité et de votre résilience est essentielle. Mettez en place une gestion de programme solide, améliorez continuellement les processus, assurez le financement et restez à l’affût des réglementations futures.
Tout est numérique et tout doit être sécurisé. C’est l’état d’esprit que les entreprises doivent avoir aujourd’hui. Les professionnels de la cybersécurité doivent travailler avec les entreprises de manière différente et changer l’image de la cybersécurité pour que cet état d’esprit devienne une réalité.
Une culture de la sécurité est nécessaire pour que la cybersécurité soit ancrée dans l’esprit des employés. Les campagnes de sensibilisation doivent être spécialisées afin de faire prendre conscience des nouveaux risques et d’obtenir les résultats souhaités en matière de changement de culture.
Les entreprises qui ont réussi à mettre en œuvre cet état d’esprit axé sur la sécurité utilisent même la cybersécurité comme un avantage commercial dans le cadre de leur développement.
Les professionnels de la cybersécurité doivent avoir une vision collective et à long terme pour constituer une équipe solide, créer des communautés et des plans de carrière pour non seulement attirer, mais aussi développer les talents et faire en sorte que les gens aient envie de rester.
Avec 4 millions d’emplois non pourvus dans le domaine de la cybersécurité dans le monde et 92 % des professionnels déclarant avoir des lacunes en matière de compétences en cybersécurité*, comment cette évolution est-elle possible? Des compétences diverses sont nécessaires et les entreprises doivent redoubler d’efforts pour attirer ces talents et relever les défis de demain.
*IC2 2023
Le rythme rapide actuel du développement technologique ne montre aucun signe de ralentissement. Dans le paysage dynamique d’aujourd’hui, il est essentiel pour les organisations de tirer parti des avantages de l’IA, d’atténuer les menaces et de s’assurer que des mesures de sécurité robustes sont en place.
Les RSSI seront mis au défi de suivre ce rythme dans les années à venir et de faire passer la cybersécurité au niveau supérieur. Ils doivent trouver le meilleur équilibre possible entre les mesures d’atténuation des risques nécessaires, un environnement de sécurité solide et, bien sûr, l’état d’esprit de cybersécurité nécessaire à tous.
À titre d’exemple, les solutions IA se nourrissent des données de l’entreprise. Par conséquent, avant de mettre en œuvre l’IA, il est essentiel de sécuriser l’accès aux données et de gérer correctement le contrôle d’accès. Ensuite, vous pourrez commencer à réfléchir à la sécurisation de la solution IA elle-même.
En résumé
Pour faire passer votre cybersécurité au niveau supérieur, concentrez-vous sur les trois points suivants. Premièrement, restez dans la course en ce qui concerne la réglementation, le contexte des menaces et l’arrivée de nouvelles technologies. Deuxièmement, changez la perception de la cybersécurité dans l’ensemble de votre organisation et montrez la valeur ajoutée de la cybersécurité. Enfin, assurez-vous de conduire le changement dans le domaine pour garantir la résilience de votre entreprise et sa capacité à se développer au fil des années.
*Les niveaux de maturité ont été mesurés par rapport à des normes internationales (NIST CSF / ISO 27001/2) lors de missions d’évaluation menées par les consultants de Wavestone. L’échantillon, daté du 1er juin 2024, comprend plus de 150 organisations, représentant près de 7 millions d’employés.
Auteur
-
Gérôme Billois
Partner – France, Paris
Wavestone
LinkedIn