Sony Pictures Entertainment, le Bureau de gestion du personnel américain, la banque du Bangladesh, l'État du Texas, Ashley Madison, Target : voici quelques-unes des entreprises dont les cadres supérieurs ou les cadres de la haute direction ont démissionné ou ont été licenciés à la suite de failles majeures en matière de cybersécurité. Alors, les cadres supérieurs du monde entier doivent-ils se soucier partout de leur carrière au vu des attaques toujours plus sophistiquées et plus dévastatrices ?

Les experts du secteur de la sécurité expliquent que la nature et la complexité des cyber-attaques d'aujourd'hui dépassent la dimension des entreprises les plus importantes. « Il ne paraît pas raisonnable de prévenir toute attaque sophistiquée, notamment des attaques ciblées par des acteurs institutionnels, » remarque

Kevin Mandia, PDG de FireEye, une entreprise internationale de cybersécurité.

Une étude récente menée par FireEye a révélé que l’année 2015 a enregistré une augmentation du nombre d'attaques perturbatrices, durant lesquelles les pirates détiennent des informations contre des rançons, suppriment des données cruciales, envoient des informations stratégiques de la société sur internet ou ajoutent un code malveillant dans un référentiel de code source. La recherche a également révélé une augmentation de l'exportation massive de données personnelles (PII) des entreprises ciblées par les cybercriminels chinois.

De telles violations frappent les sociétés là où c’est le plus douloureux : les éléments financiers. La Banque du Bangladesh, qui a connu récemment une intrusion qui lui a coûté une perte impressionnante de $81 millions, constitue un simple exemple de la portée potentielle du risque aujourd'hui.

Dans de nombreux cas semblables, les cybercriminels ne sont jamais pris ou poursuivis parce qu'ils sont très difficiles à traquer. Les réseaux souterrains des pirates sophistiqués peuvent lancer

Maîtriser l’incidence de la cybercriminalité sur le parcours professionnelLes cyber-attaques ne sont pas seulement une source de dévastation des entreprises ; elles peuvent également détruire des carrières. Voici cinq tactiques que les cadres peuvent utiliser pour protéger leurs entreprises et leurs propres réputations.

42%Pourcentage des entreprises et des responsables informatiques qui rapportent que les cadres supérieurs de leurs entreprises ne perçoivent pas les améliorations à apporter en matière de cybersécurité

16%Pourcentage de ceux qui ne peuvent pas évaluer la connaissance de leurs cadres supérieurs en matière de cybersécurité

Source: Cybersecurity Challenges, Risks, Trends and Impacts Survey, (Enquête sur les défis de la cybersécurité, les risques, les tendances et les impacts), MIT Technology Review Custom en partenariat avec les Services de sécurité de Hewlett Packard Enterprise et FireEye Inc., 2016

Même si les cadres supérieurs ne prennent pas réellement des décisions qui provoquent des failles de sécurité, ils peuvent très bien en assumer la responsabilité en fin de compte.

1

Le défi de la cybersécurité MIT Technology Review Custom

par MIT Technology Review Custom en collaboration avec les Services de sécurité Hewlett Packard Enterprise et FireEye Inc.

une attaque depuis n’importe où dans le monde, en utilisant d'autres pays voire même d’autres entreprises pour cacher leurs actions, explique Arthur Wong, vice-président et directeur général, Services de sécurité de Hewlett Packard Enterprise (HPE). Bien trop souvent, les reproches sont adressés aux cadres dirigeants de l’entreprise.

Souvent, le DSI ou le RSSI d'une entreprise de taille moyenne ou même d'une grande entreprise, ne dispose pas du même niveau de ressources que les pirates eux-mêmes. D’où, « un combat injuste, et vous ne pouvez pas les en rendre responsables » , explique A. Wong. Mais cela ne signifie pas que les entreprises et les actionnaires n’en tiendront pas les cadres supérieurs pour responsables.

Le combat contre les pirates peut sembler être une cause perdue lorsque certains d’entre eux peuvent pénétrer dans les principales institutions financières et agences gouvernementales, avec une facilité déconcertante. Néanmoins avec une bonne préparation, les cadres supérieurs depuis les RSSI jusqu’aux membres du conseil, peuvent contribuer à atténuer les dommages dus à ces effractions, même s’ils ne peuvent pas les empêcher totalement. Voici cinq tactiques de protection de votre entreprise, et votre carrière, contre tout désastre de cybersécurité.

1. Créer un profil de risqueChaque secteur et chaque entreprise fait face à différents risques de sécurité. Commencez par évaluer le niveau de risque de votre entreprise et les capacités en place permettant de prévenir et de répondre à une attaque, y compris le budget et le personnel. Cette connaissance servira de feuille

de route pour la création des plans de prévention de la cybersécurité, de détection, de réponse et de reprise.

Ensuite, tout le reste n’est une question d'objectifs. K. Mandia recommande d’identifier six ou sept types d'événements que vous considérez comme catastrophiques pour votre entreprise. Ensuite, définissez ce que votre entreprise met en place pour lutter contre ces menaces, si leur rôle est d’atténuer le risque de voir les personnes se faire voler leurs données de cartes de crédit ou bien d’empêcher quelqu’un de pirater le compte e-mail du PDG. Ce dernier justifierait de fournir des niveaux plus élevés de sécurité pour les comptes des cadres supérieurs que ceux des employés de niveau inférieur. « Nous travaillons avec des entreprises pour déterminer quelles sont les ressources qui leur importent le plus, afin de construire une enclave sécurisée autour de celles-ci » , raconte K. Mandia.

2. Impliquer le PDGPlus de 42 % des entreprises et des responsables informatiques qui ont participé à l’enquête de février 2016 ont indiqué que les cadres supérieurs de leurs entreprises ne comprenaient pas le temps et les ressources nécessaires pour atténuer les risques et minimiser l’exposition à la menace, tandis que 16 % n’étaient pas capables de mesurer la sensibilisation de la direction. MIT Technology Review Custom a mené cette enquête Cybersecurity Challenges, Risks, Trends, and Impacts Survey (Enquête sur les défis de la cybersécurité, les risques, les tendances et les impacts) en partenariat avec HPE et FireEye.

« Les PDG ont besoin d'avoir un rôle beaucoup plus actif dans la compréhension de ce qui est fait, et du niveau de diligence apporté au sein de leurs organisations, en matière de protection contre les cyber-attaques » , remarque A. Wong. Même si les cadres supérieurs ne prennent pas réellement des décisions qui provoquent des failles de sécurité, ils peuvent très bien en assumer la responsabilité en fin de compte.

Cependant, les PDG ne doivent pas être considérés comme des experts en sécurité : c’est

38%Pourcentage des entreprises et responsables informatiques dont les entreprises dépensent moins de 5 % de leurs budgets informatiques pour la cybersécurité

34%Pourcentage de ceux qui ne savent pas combien leurs organisations dépensent pour la cybersécurité

Source: Cybersecurity Challenges, Risks, Trends and Impacts Survey, (Enquête sur les défis de la cybersécurité, les risques, les tendances et les impacts), MIT Technology Review Custom en partenariat avec les Services de sécurité de Hewlett Packard Enterprise et FireEye Inc., 2016

« Les PDG ont besoin d'avoir un rôle beaucoup plus actif dans la compréhension de ce qui est fait, et du niveau de diligence apporté au sein de leurs organisations, en matière de protection contre les cyber-attaques. » — Arthur Wong, Vice-président et directeur général, Services de sécurité de Hewlett Packard Enterprise (HPE)

2

Le défi de la cybersécurité MIT Technology Review Custom

le travail du RSSI. Bien au contraire, « l’objectif du PDG est de s'assurer de recruter la personne la plus appropriée possible, une personne qui peut mettre en œuvre de manière optimale, un plan pour le profil de risque de l'entreprise » , explique K. Mandia.

3. Renforcer les rôles et les dépenses en cybersécuritéUn nombre croissant de RSSI rapporte aujourd’hui à des cadres supérieurs qui ne font pas partie du service informatique, explique A. Wong. « Nous voyons beaucoup de RSSI qui rapportent à un responsable des risques, s'il y en a un dans la société ou bien à un directeur financier ou même à un responsable juridique » , explique-t-il. D'après la tendance, on comprend de plus en plus que la sécurité n’est plus une simple fonction informatique, parce que les dommages potentiels des failles de sécurité vont bien au-delà de l’aspect informatique. « Les failles peuvent affecter l’entreprise, la capitalisation de la société, la marque » , explique A. Wong.

Au-delà d’un renforcement du rôle du RSSI, de nombreuses sociétés doivent augmenter leurs investissements en technologie et personnel de sécurité. A. Wong conseille aux entreprises d'allouer au minimum 8 à 10 % de leur budget informatique total à la sécurité, mais il reconnaît que beaucoup en consacrent encore un pourcentage moindre.

L’enquête Cybersecurity Challenges, Risks, Trends, and Impacts Survey est arrivée à la même conclusion. Non moins de 38 % des 225 entreprises et responsables informatiques interrogés ont dépensé moins de 5 % de leur

budget informatique pour la cybersécurité, et seulement 15 % d’entre eux estiment une telle dépense entre 5 et 10 %. Seulement 9 % ont rapporté consacrer 10 à 15 % de leurs budgets informatiques à la cybersécurité, et seulement 4 % ont estimé dépenser plus de 15 %. La plupart des autres ne connaissaient pas le montant alloué par leurs entreprises à la cybersécurité, un indicateur clair qu'il est peut-être temps de s’en préoccuper.

4. Comprendre les risques et les ramifications et identifier les lacunesLes DSI, PDG et autres cadres supérieurs peuvent se demander s'ils ont besoin d'avocats pour les représenter en cas de faille de sécurité. Et, en fait, certains cabinets d'avocats offrent des services de préparation à toute faille de sécurité, destinés à aider les cadres à comprendre ce qu'ils doivent savoir avant, pendant et après une faille de sécurité, explique A. Wong.

Néanmoins, les DSI, RSSI et autres cadres ne sont généralement pas appelés au tribunal comme témoins suite à une faille de sécurité. « Actuellement, il n’y a normalement aucune poursuite, ou s'il y en a une, elle est réglée avant toute forme de procès » , raconte K. Mandia. « Le conseil que je donne est le suivant : s'il arrive quelque chose de négatif à votre entreprise au sein du cyberespace, vous voudrez faire face pour résister à toutes les inspections de tiers. » Cela signifie répondre à des questions détaillées posées par les enquêteurs concernant le programme de sécurité et les actions mises en place par la société avant et pendant un incident.

A. Wong recommande que les entreprises visent à garantir que :

• Leurs entreprises soient en conformité avec les réglementations du secteur.

• Leurs conseils et leurs cadres comprennent parfaitement les risques associés aux failles de sécurité.

• Elles aient développé des systèmes de mesure permettant de quantifier les lacunes connues.

81millionsC’est la perte déclarée par la Banque du Bangladesh suite à une faille de sécurité en mars 2016

Source: The Wall Street Journal

« Le conseil que je donne est le suivant : s'il arrive quelque chose de négatif à votre entreprise au sein du cyberespace, vous voudrez faire face pour résister à toutes les inspections de tiers. » — Kevin Mandia, PDG, FireEye

3

Le défi de la cybersécurité MIT Technology Review Custom

• Elles aient mis en place des plans et aient mis à disposition des ressources pour combler ces lacunes.

Les entreprises doivent tout particulièrement savoir où se trouvent leurs données critiques et comment elles sont sécurisées. Elles doivent continuellement évaluer les risques, et elles doivent identifier et sensibiliser leurs utilisateurs à haut risque. Et bien sûr, elles doivent surveiller de manière accrue les utilisateurs, les applications et les données, et les interactions entre eux.

5. Rechercher des partenaires expertsIl n’est pas toujours judicieux ou possible de construire et d’entretenir sa forteresse tout seul. Un partenaire expérimenté peut faciliter la tâche, par exemple, en fournissant une assistance experte avec une évaluation des risques et des plans de transformation.

« Nous aidons les personnes à chaque étape à satisfaire aux objectifs de leurs programmes de cybersécurité, et nous répondons à pratiquement toutes les failles de sécurité importantes » , explique K. Mandia de FireEye, dont les six centres d'opération internationaux assurent une détection et une réponse constantes à plus de 4 400 clients. « Cela vous donne un point de vue

unique sur la technologie qui fonctionne et qui ne fonctionne pas, comme promis et sur les menaces d'aujourd'hui. S’il existe un grand nombre de failles dans un certain secteur, nous pouvons apporter des conseils très pertinents en matière d'intelligence de menace. »

HPE aide les clients à évaluer les risques, à construire, à structurer, à concevoir et à mettre en œuvre des systèmes et des infrastructures résilients ; pour ceux qui en veulent encore plus, HPE peut gérer entièrement les opérations de sécurité. L’entreprise gère 10 centres d'opérations de sécurité dans le monde entier, avec 5 000 professionnels de la sécurité au service de 10 000 clients. Comme le souligne A. Wong : « Il y a une pénurie de compétences et de connaissances en matière de sécurité dans le monde entier, et nous aidons les clients à se protéger contre les menaces là-bas de manière plus efficace que ce qu’ils peuvent faire eux-mêmes. »

En fin de compte, en choisissant le bon partenaire, les cadres supérieurs et leurs conseils peuvent relever les défis de la cybersécurité, en protégeant non seulement leurs entreprises mais également leurs carrières.

Pour en savoir plus sur la cybersécurité et la transformation numérique, veuillez découvrir ce site internet HPE–FireEye.

À propos de MIT Technology Review Custom

A l’appui de plus de 115 ans d'excellence dans le journalisme technologique, MIT Technology Review Custom dépend de la société mondiale de médias MIT Technology Review qui crée et distribue du contenu personnalisé. Nos solutions clés en main comprennent tout ce qui relève de l'écriture, l’édition et de l’expertise de conception ainsi que de multiples options dédiées à un soutien promotionnel. Grâce à une collaboration étroite avec les clients, notre équipe d’experts de la rédaction personnalisée développe un large éventail de contenu haute qualité, pertinent, et le distribue aux clients quand ils le veulent et sous la forme souhaitée, numérique, imprimée, en-ligne ou en face-à-face. L’ensemble est personnalisé pour répondre aux objectifs des clients en matière de contenu marketing et pour les positionner comme des leaders avisés qui sont en ligne avec l'autorité en charge de la technologie correspondante.

www.technologyreview.com/media

Copyright © 2016, MIT Technology Review. Tous droits réservés.

4

Le défi de la cybersécurité MIT Technology Review Custom