Les 7 points clefs d’une organisation cyberrésiliente Acquérir une fine connaissance de l’organisation Faire preuve d’un leadership exceptionnel dans pour mieux la mobiliser en cas d’attaque l’encadrement de ses équipes La cyberrésilience requiert une réaction collective impliquant Lors d’une cyberattaque, comme dans toute situation de crise, les et mobilisant toute l’organisation. Cette capacité s’appuie sur individus doivent se tenir prêts à réagir, car chacun d’entre eux est une connaissance approfondie de l’environnement professionnel susceptible d’en être affecté. C’est pourquoi les procédures à suivre et opérationnel de l’organisation pour assurer la protection doivent être clairement communiquées par le leadership, et les des processus assurant la continuité de l’activité, celle des rôles et missions de chacun, bien définis, pour que l’organisation collaborateurs et des actifs, mais aussi de l’image globale de la puisse se remettre en état de marche le plus rapidement possible. marque en cas de cyberattaque. Instaurer une culture du changement Cartographier l’écosystème La capacité à réagir rapidement à une cyberattaque permet Analyser l’ensemble des relations qu’entretient l’organisation au de minimiser les risques d’impacts matériels à long terme. Les sein de son cyberécosystème permet non seulement d’identifier les organisations qui développent des moyens de défense intégrés, risques existants, mais aussi de déterminer la place qu’elle occupe automatisés et efficaces s’appuient généralement sur un comité dans cet environnement, ainsi que les moyens d’y renforcer son de direction ad hoc, un programme de gestion de crise et influence. coordonnent les ressources à l’échelle de l’organisation. A travers des simulations, les organisations peuvent entraîner leurs équipes Identifier les informations prioritaires et actifs à faire face à ce type de gestion de crise, à évaluer l’efficacité des mesures de protection courantes et de leurs profils de risque afin stratégiques de s’assurer qu’elles sont parfaitement alignées sur leur stratégie et leur appétence au risque. De nombreuses organisations protègent certaines informations de manière excessive et d’autres de manière insuffisante. L’enquête Les organisations devraient également élaborer et mettre en œuvre révèle que : des exercices de simulation sur mesure (jeux de rôles) incluant des • 51% des répondants considèrent que les identifiants personnels tests des centres de contrôle et d’opérations, ainsi que des guides et de leurs clients figurent parmi les informations les plus plans sur la cyberrésilience. recherchées par les cybercriminels (priorité 1 ou 2) ; Mener des investigations formelles et préparer • Seuls 11% ont placé la propriété intellectuelle brevetée sur les deux premières marches de ce classement ; d’éventuelles poursuites judiciaires • La majorité des répondants considère les informations Afin de protéger les intérêts de l’organisation en cas de personnelles des membres du comité exécutif plus précieuses que cyberattaque majeure, les directeurs des systèmes d’information les informations relatives à la R&D, à la propriété intellectuelle et et responsables de la sécurité doivent être prêts à entrer en aux plans stratégiques de l’organisation. concertation avec les membres du comité général et du comité de Collaborer pour réduire les facteurs de risque la sécurité, des conseils juridique et externe, ainsi que des comités externes d’investigation et de conformité, afin de : Sans une vision globale des risques et des menaces qui pèsent • Recueillir des preuves en vue d’une éventuelle enquête plus sur l’organisation, les programmes de cybersécurité ne peuvent approfondie ; être pleinement performants. Le partage d’information en interne • S’assurer que les cybercriminels ne sont plus présents sur les se révèle à ce titre parfois plus efficace que tous les outils et réseaux de l’organisation, et qu’aucun logiciel malveillant ne technologies conçus pour anticiper et identifier les menaces, car il pourra la compromettre à l’avenir ; permet à l’organisation de mieux comprendre l’étendue des risques auxquels elle doit faire face et de combler d’éventuelles lacunes • Mener une enquête plus approfondie pour comprendre qui a de sécurité. Etendre cette bonne pratique à ses partenaires est un mené l’attaque, comment elle a été exécutée et pourquoi ; facteur clef de renforcement de la sécurité de son écosystème. • Porter plainte ou intenter des actions en justice contre • De quelle marge de manœuvre disposez-vous pour gérer tout l’agresseur, ainsi que tous ceux qui ont participé à l’attaque ou risque résiduel ? l’ont commanditée. Des procès peuvent également être intentés • Quel niveau de risque êtes-vous prêts à accepter ? contre les fournisseurs de produits et de services peu scrupuleux, qui ne respectent pas les obligations contractuelles en matière de • Quelles sont les priorités en matière de protection ? cybersécurité. e 19 édition de l’étude EY sur la sécurité de l’information (2016) | 23
Cap sur la cyberrésilience : anticiper, résister, réagir Page 22 Page 24