Gestion des cyber-risques : la sensibilisation ne suffit pas

Selon les conclusions d'une nouvelle étude sur la gestion des cyberrisques dans les entreprises, les organes de surveillance sont de plus en plus appelés à assumer leurs obligations légales de contrôle et de surveillance en matière de gestion des cyberrisques. Outre l'obligation légale, il existe également de bonnes raisons d'investir dans la gestion des cyberrisques du point de vue de la gestion d'entreprise, poursuit l'étude réalisée par la Haute école de Lucerne en collaboration avec l'assureur La Mobilière et l'association économique faîtière economiesuisse. Enfin, les cyber-attaques pourraient causer des dommages considérables aux organisations, avec pour conséquence, dans le pire des cas, des amendes élevées, une forte perte de réputation, le retrait de l'autorisation d'exploitation ou la faillite.

Un navire sans capitaine : absence de déclarations sur la préparation aux cyber-risques

Selon l'étude, de nombreuses entreprises semblent manquer d'un fondement central pour la gestion des cyberrisques : Aucune des organisations interrogées n'a défini explicitement dans quelle mesure les cyberrisques doivent être pris en connaissance de cause afin d'atteindre les objectifs commerciaux. "Du point de vue de la gestion des risques, c'est comparable à un navire qui n'a pas de capitaine", explique-t-il. Stefan HunzikerAuteur de l'étude et directeur du centre de compétences Risk & Compliance Management à la Haute école de Lucerne. Il semble que le développement de ce que l'on appelle l'appétit pour le risque pose de gros problèmes dans la pratique.

L'étude de la HSLU montre en outre que dans la gestion des cyber-risques, il existe un fossé entre le niveau technique de l'infrastructure informatique et le niveau organisationnel. "Les cyber-risques sont encore trop souvent considérés comme un sujet purement informatique. En conséquence, ils sont gérés de manière décentralisée et opérationnelle et trop peu intégrés dans la gestion des risques à l'échelle de l'entreprise", explique Hunziker. On constate ici un décalage entre la pertinence du risque (Awareness) et la "Risk Governance". "Cet état de fait empêche une comparaison cohérente - et donc une hiérarchisation judicieuse - des cyberrisques et des autres catégories de risques au niveau de la direction supérieure", explique l'expert. Comme premier pas dans la bonne direction, il recommande d'encourager la collaboration entre le Chief Information Security Officer (CISO) et le Risk Manager. "Car c'est là que l'on fait en premier lieu le lien entre la cybersécurité technique et la gestion des risques de l'entreprise", explique Hunziker.

Le facteur de risque "humain" : des investissements supplémentaires sont nécessaires

Souvent, les mesures les plus simples et les plus efficaces pour gérer les cyberrisques sont encore négligées. Stefan Hunziker : "Le cas échéant, la définition des cyber-risques est donc quelque peu trompeuse, car de nombreuses causes de risque ne se trouvent pas dans le cyberespace, mais dans un comportement humain erroné". L'analogie avec la médecine est utile : on y sait depuis longtemps qu'un comportement humain correct empêche la transmission de maladies. La désinfection régulière, le lavage discipliné des mains et le respect des distances sont des comportements établis - au moins depuis le début de la pandémie de Corona. La présente étude confirme que le "facteur humain", ou plutôt les comportements humains, sont encore trop peu abordés dans le domaine de la cybersécurité par rapport aux mesures techniques. "Le facteur 'humain' n'est certes qu'un élément du processus d'amélioration continue de la cybersécurité, mais il est très important", explique Hunziker. Le comportement humain en matière de cybersécurité devrait être entraîné de telle sorte qu'il devienne aussi naturel et "normal" que d'éternuer dans le creux de son bras.

Gestion des cyber-risques et migration vers le cloud

De nombreux cyber-risques trouvent leur origine dans l'utilisation du cloud. Il est donc d'autant plus important que les organisations planifient bien leur passage au cloud et l'accompagnent de mesures adéquates. "La mise en place d'une stratégie claire est la première étape d'une migration vers le cloud bien planifiée", explique Armand Portmann, auteur de l'étude et responsable du domaine thématique Information & Cyber Security | Privacy au département Informatique de la Haute école de Lucerne. Il est réjouissant de constater qu'une grande partie des organisations interrogées disposent d'un tel document, qui décrit les conditions-cadres pour l'introduction et l'utilisation de services en nuage. Cela permet de conclure que le thème du cloud computing bénéficie désormais de l'attention des organes de direction. "Il y a une prise de conscience du fait que l'utilisation de services en nuage est liée à des risques", explique Armand Portmann.

Toutefois, lorsqu'il s'agit de désigner les risques liés à l'utilisation de services en nuage, les organisations interrogées ne sont pas à court de réponses. "Parmi les trois premiers, on trouve la perte de confidentialité, respectivement la violation de la protection des données, la dépendance vis-à-vis du fournisseur de services cloud et les questions de responsabilité", explique Fernand Dubler, auteur de l'étude et collaborateur scientifique à la Haute école de Lucerne. Le sujet est complexe. Il n'est donc pas étonnant, selon lui, que les mesures nécessaires pour atténuer ces risques ne soient pas évidentes à prendre. Dubler ajoute : "Ces mesures sont extrêmement variées et doivent être développées individuellement à partir de la situation concrète d'externalisation. Cela place souvent les organisations concernées devant de très grands défis".

Source et informations complémentaires : Université de Lucerne