Renforcer la résilience numérique : le meilleur moyen de défense contre les cyberattaques

Renforcer la résilience numérique : le meilleur moyen de défense contre les cyberattaques

Étude PwC Digital Trust Insights

●     Les entreprises qui parviennent à résister aux cyberattaques (et qui affichent dès lors un « quotient de résilience élevé ») présentent trois caractéristiques essentielles :

  • elles disposent d’un inventaire complet de leurs actifs et le mettent à jour selon les besoins (91 %) ;
  • elles ont identifié leurs services critiques (73 %) ;
  • elles ont établi les seuils de tolérance d’impact pour leurs services critiques et non critiques (61 %).

●     Si 69 % des dirigeants d’entreprise belges se disent préoccupés par la cybercriminalité, 75 % estiment que leur organisation est capable de résister à une cyberattaque. Force est de constater qu’il reste encore un long chemin à parcourir en termes de sensibilisation.

22 octobre 2019 – Selon le FBI, les attaques par rançongiciel constituent la cybermenace dont la croissance est la plus rapide. Selon une estimation de la police fédérale américaine il y a en effet plus de 4 000 incidents de ce type par jour aux États-Unis. Désormais, une protection « suffisante » des données et des informations ne suffit plus. Dans le cadre de la dernière édition de son étude Digital Trust Insights, PwC a interrogé 3 500 dirigeants d’entreprise et responsables informatiques à travers le monde sur leur résilience numérique. L’étude visait à identifier les organisations qui sont prêtes à faire face à une cyberattaque et à s’en relever rapidement, ainsi qu’à comprendre comment ces entreprises ont développé cette expertise. Les résultats montrent que les organisations ayant les stratégies les plus matures sont également les plus susceptibles d’avoir revu leurs plans de résilience face aux nouvelles menaces « très importantes ».

Développer la résilience dès la conception

Parmi les personnes interrogées à travers le monde, 25 % intègrent le groupe au quotient de résilience élevé (« QR élevé »). Ces entreprises sont plus susceptibles que les autres répondants d’avoir revu leurs stratégies face aux nouvelles menaces. Ce groupe est passé du modèle traditionnel de reprise après sinistre au modèle de « résilience dès la conception ». Cette approche plus large consiste à obtenir des vues en temps réel des processus prioritaires de sorte que les décideurs et les intervenants puissent réagir aux incidents de concert, avec un préjudice pour l’entreprise réduit au minimum. Fondamentalement, les membres de ce groupe se concentrent sur trois aspects : 

  • la visibilité sur les processus, actifs et dépendances critiques ;
  • la définition et le test du niveau de perturbation que leur organisation peut tolérer ;
  • le développement de la résilience numérique dès la conception.
Story image

Les organisations du groupe au QR élevé sont plus susceptibles d’avoir revu leurs stratégies face aux nouvelles menaces « très importantes » (59 % contre 31 % pour les autres répondants). Elles ont également davantage de certitude de pouvoir gérer les risques émergents qui mettent la cyberrésilience à l’épreuve (73 % contre 24 %).

Confirmation des 20 principaux points de contrôle du CIS™

Sans au préalable comprendre comment les données et les processus sont liés à ses principaux services et leurs interdépendances, une entreprise ne peut pas savoir quels systèmes ou actifs il convient d’isoler en cas d’attaque. La différence la plus frappante entre le groupe au QR élevé et les autres répondants est la suivante : 91 % des entreprises du groupe au QR élevé disposent d’un inventaire précis de leurs actifs et le mettent à jour selon les besoins, contre seulement 47 % des autres répondants.

« Les résultats de notre étude confirment les deux premières recommandations des 20 principaux points de contrôle de sécurité critiques du CSI™ pour protéger une organisation et les données contre les vecteurs de cyberattaques connus : en premier lieu, établir et tenir à jour un inventaire du matériel et, en deuxième lieu, établir et tenir à jour un inventaire des logiciels », explique Ingvar Van Droogenbroeck, Partner et Cyber & Privacy Leader chez PwC Belgium. « Nous nous concentrons également sur ces contrôles lorsque nous travaillons avec des clients qui mettent en place des systèmes de gestion de l’information conformes à la norme ISO 27001 relative au management de la sécurité de l’information. »

Une résistance équivalente à celle du maillon le plus faible

Pour les grandes entreprises, les actifs informatiques se comptent par millions et les interconnexions par centaines de millions. Or, il existe des technologies permettant de répertorier de manière détaillée les actifs et processus critiques. Plus de la moitié des entités au QR élevé ont automatisé leurs processus d’inventaire et de mise en correspondance, contre seulement 10 % pour les autres répondants.

« Trop souvent, les entreprises n’ont aucune vue d’ensemble précise et complète de leur patrimoine informatique, sans parler des dépendances au sein des actifs et entre ceux-ci. Par conséquent, elles ne comprennent pas quels sont les éléments critiques pour leurs opérations. En cas de coup dur, la reprise sera alors difficile et coûteuse », précise Ingvar Van Droogenbroeck. « Si votre système comporte des éléments matériels ou logiciels dont vous ignorez l’existence, il est peu probable qu’ils soient totalement mis à jour ou adéquatement sécurisés, ce qui en fait un point d’entrée facile vers votre infrastructure tout entière. »

Une préparation idoine est primordiale

Il convient de souligner que 73 % des entreprises du groupe au QR élevé ont identifié leurs services les plus importants, contre seulement 27 % des autres répondants. Les entreprises doivent fixer des limites quant à la durée et au coût qu’elles sont prêtes à supporter, à savoir leurs seuils de tolérance d’impact. Dans de trop nombreux cas, les organisations n’ont également aucun plan solide de continuité des activités en place. Puisque les priorités diffèrent d’un département à l’autre, il faudra peut-être alors déterminer les éléments vraiment essentiels pendant la crise, ce qui entraînera des complications et un prolongement de la reprise des activités.

Les dirigeants d’entreprise belges se disent également de plus en plus préoccupés. Cette inquiétude est en outre confirmée dans notre Baromètre 2019 sur l’opinion des dirigeants d’entreprise, où 69 % des dirigeants belges se disent préoccupés par la cybercriminalité. En effet, 72 % des dirigeants belges reconnaissent que leur entreprise pourrait potentiellement devenir une cible dans le cadre de cyberactivités géopolitiques. Par ailleurs, 75 % des dirigeants belges estiment que leur organisation est capable de résister à une cyberattaque. Force est de constater qu’il reste encore un long chemin à parcourir en termes de sensibilisation.

« Pire encore : dans de nombreuses organisations, la documentation fait défaut ou n’est pas à jour. Si l’information n’est détenue que par une ou deux personnes clés, votre survie peut dépendre de la disponibilité de ces personnes pendant la crise », avertit Ingvar Van Droogenbroeck.

Le rapport intégral de l’étude Digital Trust Insights de septembre 2019 peut être consulté ici.

 

Contact

Erik Oosthuizen

erik.oosthuizen@pwc.com

+32 490 582 284

www.pwc.com

A propos de PwC Belgique

Serving clients from strategy through execution

Chez PwC Belgique, nous nous engageons à fournir des services de qualité en matière d’audit, de fiscalité et de conseil à nos clients des secteurs public et privé, en Belgique et au niveau international.

Notre entreprise incarne le principe de création de valeur, grâce au réseau de relations que nous développons et ce principe est ancré au cœur même de notre philosophie d’entreprise. Notre promesse de valeur débute par les relations que nous tissons avec vous.