Contribution exclusive pour le magazine Executive par Steve Williamson, directeur des comptes d’audit (cybersécurité et confidentialité des données) à GSK.
En 2000, le virus «Love Bug» a infecté environ cinquante millions d’ordinateurs. Répartir par e-mail avec la ligne d’objet «Iloveyou» et une pièce jointe étiquetée «Love-Letter-for-you.txt», il reste l’une des attaques malveillantes les plus approfondies de l’histoire. Avance rapide jusqu’en 2024, lorsque l’incident Crowdstrike a affecté 8,5 millions d’ordinateurs, provoquant une perturbation généralisée, y compris les vols à la terre et les procédures médicales annulées. Alors que l’attaque de Bug Love résulte d’une intention malveillante, le «glitch» de Browdsstrike provenait d’une erreur humaine. Qu’ils soient motivés par la malveillance ou les erreurs, les cyber-incidents – et leur potentiel à perturber les opérations commerciales – sont en augmentation. Alors que les entreprises continuent d’intégrer plus de solutions numériques, ces perturbations ne feront qu’augmenter.
Le paysage numérique a considérablement changé depuis 2000. La complexité des cybermenaces s’est développée, les empreintes numériques des organisations se sont développées et de nouvelles réglementations – couvrant la confidentialité des données, l’IA et la cybersécurité – émergent.
Aujourd’hui, les acteurs du crime électronique et de l’État-nation dominent le paysage des menaces. Le gain financier est le principal moteur des criminaux électroniques, qui déploient des ransomwares, volent des données sensibles et utilisent des tactiques d’extorsion pour cibler les organisations. De nombreuses entreprises, sans alternative viable, paient la rançon pour restaurer leurs systèmes ou protéger leurs données volées. Ces acteurs de menace sont bien organisés, achetant souvent des services via des marchés Web Dark. Pourtant, malgré leur sophistication, ils comptent souvent sur des méthodes d’attaque familières telles que l’ingénierie sociale, le vol d’identification et l’exploitation des vulnérabilités non corrigées dans les logiciels.
Une complexité croissante pour les organisations consiste à gérer leur écosystème numérique de plus en plus distribué, qui s’étend sur des infrastructures sur site et des prestataires de services cloud. La cartographie de ce réseau de dépendances tierces – y compris les fournisseurs de logiciels en tant que service (SaaS), les distributeurs de logiciels, les spécialistes du support technologique et les principaux joueurs de service cloud comme Microsoft, Google et Amazon – peuvent être intimidants. Ce modèle distribué offre de nombreux avantages, tels que la dynamique, la tarification basée sur la consommation, la possibilité d’accéder aux meilleurs services de classe et de facilité d’évolutivité. Une petite entreprise avec seulement vingt employés peut tirer parti des mêmes fonctionnalités, de la même sécurité et de la même résilience en tant que grande entreprise, grâce aux services cloud. Cela permet aux entreprises d’innover rapidement, ce qui leur permet d’intégrer des technologies avancées comme une IA générative avec un investissement minimal dans les infrastructures. Cependant, cette expansion continue de l’empreinte numérique introduit plus de vecteurs d’attaque et de points d’échec.
Alors que les organisations dépendent davantage du numérique et des données, la triade fondamentale de la cybersécurité – confidentialité, intégrité et disponibilité (CIA) – prend une nouvelle importance. La disponibilité est devenue un objectif essentiel, car les entreprises de la fabrication au commerce électronique ne peuvent plus fonctionner sans leur infrastructure numérique. Par conséquent, leur tolérance pour les temps d’arrêt est faible. En tant que tel, il ne suffit plus de s’appuyer uniquement sur la continuité des activités et les plans de reprise après sinistre. Les systèmes doivent être résilients. Par exemple, si un centre de données connaît une panne, les charges de travail doivent automatiquement se détendre vers un autre centre de données pour minimiser les perturbations des flux de travail commerciaux.
Les pannes de technologie peuvent se produire en raison de cyberattaques, de défaillances du système ou d’erreurs humaines. L’atténuation de ces risques nécessite une approche équilibrée avec des contrôles préventifs, détectifs et correctifs. Les mesures préventives incluent l’éducation à la cybersécurité pour tous les utilisateurs, la gestion de l’identité et de l’accès et les correctifs logiciels continus. Les contrôles de détective permettent aux équipes de sécurité de surveiller et de répondre aux activités suspectes qui pourraient indiquer une violation. Les contrôles correctifs se concentrent sur la redondance du système, les mécanismes de basculement et les processus de sauvegarde et de restauration efficaces. Ensemble, ces couches de défense garantissent la sécurité des données et la résilience du système.
Beaucoup de choses ont changé depuis le ver de l’ordinateur Love Bug. Les organisations ont un environnement numérique beaucoup plus complexe, entraînant une accumulation de risques technologiques. L’empreinte numérique interne croissante, combinée à un paysage de menaces externes plus difficile et à la charge réglementaire croissante, signifie que la cybersécurité doit désormais être considérée comme un risque au niveau de l’entreprise. S’assurer que les systèmes sont conçus avec le bon mélange de commandes préventives, détective et correctives sont essentielles pour atteindre un niveau élevé de sécurité et de résilience. S’il est impossible d’éliminer tous les risques, cette approche proactive permettra aux entreprises de gérer leur transformation numérique tout en réduisant leur risque à un niveau acceptable. C’est le coût de l’innovation.
