En quoi les entreprises résilientes sont-elles différentes ?
Seules 36% des entreprises du secteur des infrastructures critiques dans les cinq plus grandes économies du monde ont atteint un niveau élevé de cyber-résilience. Qu'est-ce qui caractérise ces entreprises ? Et quels enseignements peut-on en tirer ?
La cyber-résilience est la capacité à maintenir la productivité et à atteindre les objectifs commerciaux malgré une cyber-attaque réussie. Compte tenu de l'augmentation des menaces, cela est indispensable. En effet, le risque de cyberattaque ne peut jamais être totalement éliminé. Il s'agit plutôt de minimiser la probabilité d'un incident tout en prenant des mesures pour rester opérationnel même en cas d'urgence. Il est essentiel d'atteindre un niveau de résilience élevé, en particulier pour les entreprises d'infrastructures critiques. Où en sont ces organisations KRITIS sur la voie de la résistance durable et que font les entreprises résilientes différemment de celles qui en sont encore à leurs débuts ? C'est ce que l'entreprise d'études de marché Frost&Sullivan a déterminé pour le compte de Greenbone Networks.
Les quatre principaux critères pour mesurer la résilience
La cyber-résilience est un concept global qui va un peu plus loin que la sécurité informatique. Il s'agit d'établir la sécurité au sein des processus d'entreprise plutôt que de construire un mur de protection autour d'eux après coup. Pour mesurer la résilience, quatre critères principaux jouent un rôle décisif :
- Les cyber-attaques peuvent-elles être suffisamment gérées au sein de l'entreprise ?
- Dans quelle mesure peut-on atténuer les effets de cyber-attaques potentiellement graves ?
- Les meilleures pratiques et une culture d'entreprise sensibilisée à la cyber-résilience sont-elles établies ?
- Quelles sont les compétences les plus importantes pour se remettre rapidement d'un cyberincident ?
Des questions détaillées ont permis de déterminer dans quelle mesure les participants à l'étude s'estiment bien positionnés dans les quatre domaines pour les douze prochains mois et quelles sont leurs priorités en matière de gestion des cyberattaques. Seules 36 % des entreprises KRITIS interrogées estiment avoir déjà atteint un niveau élevé de cyber-résilience. Les Etats-Unis sont déjà plus avancés. 50 % des entreprises américaines interrogées font partie des organisations hautement résilientes, contre seulement 36 % des entreprises européennes et 22 % des entreprises japonaises.
Six caractéristiques qui distinguent les entreprises résilientes
Que font les 36 % d'entreprises résilientes mieux que les autres ? Voici les six caractéristiques qui se sont dégagées de leurs compétences, de leurs meilleures pratiques et de leur culture d'entreprise.
1) Les entreprises résilientes sont en mesure d'identifier les processus commerciaux critiques, les actifs associés et leurs points faibles.
Cela suppose qu'ils aient analysé avec précision leurs processus commerciaux critiques et qu'ils sachent quels actifs numériques sont indispensables pour maintenir ces processus. Il s'agit ensuite de détecter les points faibles et de prendre les mesures appropriées pour les atténuer ou les combler. Pour cela, une solution de gestion des vulnérabilités joue un rôle décisif. La capacité à gérer les vulnérabilités est ce qui distingue le plus les entreprises hautement résilientes des entreprises moins résilientes.
2) Les entreprises résilientes sont plus à même de minimiser les dommages après un cyberincident. Les problèmes de livraison, le mécontentement des clients, les dommages causés aux équipements ou les retards de production et de service peuvent être résolus en temps voulu.
Elles y parviennent grâce à leur capacité à réagir rapidement aux cyber-attaques, à combler les points faibles et à endiguer le danger. Pour cela, elles ont besoin d'une architecture de cybersécurité adaptée à leurs processus commerciaux. En outre, les entreprises résilientes peuvent agir avec agilité et ont défini des procédures de sécurité et des responsabilités claires.
3) En établissant des bonnes pratiques à un stade précoce, les entreprises résilientes sont en mesure de réagir à temps.
Pour ce faire, elles ont sensibilisé la direction et le personnel aux processus commerciaux et aux actifs critiques et ont ancré la cyber-résilience dans la culture d'entreprise. Dans 95% des entreprises hautement résilientes, le propriétaire d'un actif numérique est également responsable de sa sécurisation. L'expérience acquise et l'approche ainsi établie contribuent à mobiliser rapidement tous les niveaux de l'organisation afin de combler les lacunes et de réparer rapidement les dommages causés par les attaques.
4) Les entreprises résilientes sont plus susceptibles de demander de l'aide à des tiers ou d'être prêtes à le faire.
Ils utilisent l'expertise de prestataires de services spécialisés non seulement pour gérer les technologies de sécurité, mais aussi pour obtenir des conseils. Les consultants aident par exemple à développer une stratégie de sécurité pour l'entreprise, à choisir la technologie appropriée, à mettre en œuvre des services de sécurité gérés ou à déterminer le retour sur investissement avec des métriques de sécurité.
5) Les entreprises résilientes considèrent comme particulièrement importantes les capacités de réaction aux cyberincidents et d'atténuation de l'impact sur les processus commerciaux critiques.
Elles estiment ainsi être les mieux placées pour se remettre rapidement d'une cyber-attaque. Les entreprises européennes n'ont pas les mêmes priorités que les entreprises américaines. Elles considèrent que la capacité à éliminer les vulnérabilités est la plus importante. Aux États-Unis, en revanche, les entreprises se concentrent davantage sur leurs processus commerciaux critiques. La capacité à prévenir les cyberincidents ne joue qu'un rôle secondaire pour toutes les personnes interrogées. Il y a donc une prise de conscience croissante du caractère inévitable des cyber-attaques et de leurs conséquences.
6) Les entreprises résilientes se préparent aux cyber-attaques par des simulations.
Ils simulent différents scénarios de simulation lors de formations et impliquent également les propriétaires d'actifs en dehors du département informatique. En outre, ils appliquent les mêmes règles de cybersécurité pour tous les actifs numériques. Il est ainsi plus facile de les respecter de manière cohérente.
La clé d'une meilleure cyber-résilience
Selon Greenbone Networks, les résultats de l'étude ont montré que la cyber-résilience n'est pas une question de budget informatique et qu'elle exige bien plus qu'une technique de sécurité appropriée. La clé consiste à identifier les processus et les actifs numériques critiques pour l'entreprise et à les placer au centre de toutes les mesures. Les meilleures pratiques devraient être orientées vers les processus commerciaux et être appliquées dans tous les domaines de l'entreprise. Pour cela, il est important de sensibiliser le management et les collaborateurs aux processus et actifs critiques et aux risques qui y sont liés. Si elles y parviennent, les entreprises peuvent augmenter considérablement leur cyber-résilience.
Source : Greenbone Networks
L'enquête a porté sur 370 entreprises aux États-Unis, au Japon, en Allemagne, en France et en Grande-Bretagne. Elles sont issues des six secteurs KRITIS : énergie, finance, santé, télécommunications, transport et eau.
Vous pouvez demander le rapport complet de l'étude en cliquant sur le lien suivant : https://www.greenbone.net/businessrisk/