Exposition aux cyber-risques : les questions des dirigeants aux RSSI
Ce document constitue le premier volet d’une série de quatre articles proposant aux RSSI des conseils pour adopter une stratégie de communication proactive. Il s’agit notamment de leur montrer comment traduire des informations clés et expliquer leurs actions dans le langage de leur direction, pour leur permettre de se recentrer sur la gestion des incidents, des évènements et des menaces, et ainsi limiter leur impact sur l’organisation.
Les compromissions et la détection de vulnérabilités critiques (p. ex., lavulnérabilité Log4j)déclenchent souvent un branle-bas de combat qui mobilise la quasi-totalité des membres de l’équipe de sécurité. Si vous êtes le RSSI, vous savez que les nuits seront courtes tant que la menace n’a pas été entièrement évaluée, confinée, réduite et, enfin, éliminée – ou du moins suffisamment neutralisée pour permettre un retour à la normale, ou presque
Mais les RSSI ne sont pas les seuls à tenter de comprendre et de minimiser l’impact de la vulnérabilité ou de l’attaque. D’autres dirigeants ont eux aussi tout intérêt à suivre l’avancement de ces activités.
Commençons donc par vous préparer à répondre à leur toute première question : «Quelle est notre exposition aux risques et avons-nous subi un quelconque impact ?»
Les éventuelles questions subsidiaires à envisager :
- Les données et systèmes critiques sont-ils touchés et quel impact cela aura-t-il sur l’activité ?
- Qu’avons-nous fait et que prévoyons-nous de faire pour limiter cette exposition ?
- Quid des acteurs externes et de nos partenaires stratégiques ? Nous exposent-ils à d’autres risques ?
Quantifier l’exposition aux cyberrisques : « C’est grave, docteur ? »
Votre Comex et votre conseil d’administration veulent essentiellement savoir si un incident majeur est probable et, si oui, quelle sera l’ampleur des dégâts lorsqu’il surviendra. L’exposition aux risques correspond à la probabilité d’une attaque multipliée par son impact. Mais à ce stade-là, vos dirigeants n’ont que faire des calculs savants. Ce qu’ils veulent savoir, c’est quel sera l’impact sur vos fonctions stratégiques et comment protéger vos données sensibles, rester au service de vos clients et maintenir la continuité de vos activités génératrices de revenus.
En ce qui concerne l’évaluation et le reporting des risques, vous devrez analyser tous les réseaux et systèmes en place pour cerner l’étendue de votre exposition. Vous devrez également élargir votre analyse à tout votre écosystème pour identifier les acteurs externes, les partenaires et les fournisseurs qui pourraient représenter un risque. Pour bien comprendre ce que vos fournisseurs et vos partenaires stratégiques font pour limiter leur exposition (et la vôtre), vous devrez certainement faire preuve d’insistance et de persévérance. Mais, après tout, mieux vaut passer pour un empêcheur de tourner en rond que de se faire surprendre par un logiciel ou une intégration mal sécurisée.
Cette analyse rigoureuse et détaillée vous aidera à répondre aux préoccupations de votre direction au sujet d’un éventuel impact sur l’activité de l’entreprise en général, et sur ses opérations, ses données et ses systèmes critiques en particulier. Elle vous permettra également de hiérarchiser les risques et de répondre aux questions qui ne manqueront pas de suivre. Par exemple : « Parmi les acteurs externes à haut risque, lesquels ont la menace sous contrôle et lesquels devraient nous inquiéter ? »
Il est également bon d’informer vos dirigeants sur les points suivants :
- Votre plan en cas d’exploitation de la vulnérabilité concernée
- Vos mesures d’urgence pour maintenir les fonctions vitales opérationnelles
- Votre plan pour un retour à la normale
Vous devriez également aborder les mesures prises – et en cours de finalisation – pour limiter l’exposition de votre entreprise et accroître la résilience de vos opérations, notamment votre écosystème de partenaires externes, afin de maintenir votre activité au quotidien.
Côté impact, appelez les choses par leur nom : « D’accord, mais concrètement ? »
La question de l’impact va bien au-delà de la réponse tactique de votre équipe. Vous devez envisager l’entreprise dans sa globalité pour couvrir toutes les répercussions techniques et métiers potentielles. Par exemple, vous devez évaluer et informer la direction sur les points suivants :
- Coûts :combien la réponse, la récupération, la recréation, le remplacement ou la transformation de l’infrastructure, des applications et systèmes touchés ont-ils coûté ? Qu’en est-il des coûts indirects, comme la mobilisation de l’équipe et d’autres actifs immatériels sur ce problème au lieu de leurs activités habituelles ?
- Conséquences stratégiques : votre compétitivité a-t-elle été écornée ? Avez-vous perdu des parts de marché ?
- Atteinte à la réputation : la satisfaction et la fidélité de vos clients ont-elles été impactées ? Qu’en est-il des relations avec les investisseurs et de l’écosystème de partenaires ?
- Problèmes juridiques et de conformité règlementaire :l’incident constitue-t-il une infraction à la réglementation ? Existe-t-il un risque d’action en justice ? Par exemple, un investisseur ou un client pourraient-ils engager des poursuites ? Des amendes sont-elles à prévoir ? Des données confidentielles ou règlementées ont-elles été exposées ? Avez-vous pris toutes les mesures en votre pouvoir pour protéger les données clients ? Comment votre entreprise peut-elle démontrer sa diligence dans ce domaine ? (Aux États-Unis, la Federal Trade Commission a annoncé qu’elle comptait user de ses prérogatives judiciaires pour poursuivre les entreprises qui ne protègent pas suffisamment les données de leurs clients contre l’exposition à des vulnérabilités critiques connues.)
- Perturbations des opérations : les services et la supply chain sont-ils touchés ? Ces activités ontelles retardé ou compromis des projets stratégiques ? Quelles sont les mesures de résilience en place pour minimiser les répercussions à venir ?
En préparant les réponses à ces questions, vous pourrez expliquer le problème à votre direction et lui présenter votre plan pour maintenir le risque à un niveau acceptable.
Ne manquez pas le deuxième volet de cette série pour savoir comment répondre à la question : « La situation est-elle sous contrôle et l’avons-nous gérée comme il se doit ? »
Et pour découvrir comment aborder les thématiques d’exposition aux cyberrisques et d’autres problèmes importants avec votre CA, visionnez cette vidéo:
Nous contacter
Besoin deservices de réponse aux incidents? Faites appel à Unit 42®.
Vous pensez avoir été impacté par la vulnérabilité Log4j ou victime d’une autre attaque majeure ? Contactez l’équipe Unit 42pour échanger avec l’un de ses membres. L’équipe Unit 42 de réponse aux incidents est disponible 24 h/7 j/365 j. Vous pouvez également demander une évaluation proactive pour mettre en place des mesures préventives.