Face à la multiplication des cyberattaques, la résilience devient rapidement cruciale. Mais certaines organisations ont encore des départements informatiques ou de cybersécurité fonctionnant comme une entité distincte de la continuité des activités, constate le Business Continuity Institute.
Dans son « Cyber Resilience Report 2021 », le BCI constate que « d’une année sur l’autre, la cybercriminalité figure en tête de liste des risques futurs et qu’elle reste une préoccupation omniprésente pour les experts comme pour les entreprises ».
La preuve, son rapport montre que près des trois-quarts des 320 organisations mondiales ayant répondu aux questions, ont subi au moins une cyberattaque au cours de l’année écoulée et « une fois de plus, nous constatons que ce sont les personnes, plutôt que la technologie, qui sont à l’origine de la plupart des violations », notent les auteurs de cette étude.
Deux tiers des organisations ont été touchés par des attaques de phishing au cours de l’année écoulée, soit 25 points de pourcentage de plus que la deuxième attaque la plus courante.
Dans ce contexte, la résilience apparait comme prioritaire. « La résilience dont ont fait preuve les systèmes informatiques depuis le début de la pandémie a été essentielle pour maintenir l’efficacité de l’action au cours du premier semestre 2020 », lit-on dans ce rapport.
Cependant, si la technologie a pu être un atout en aidant les employés à effectuer des tâches à distance, elle a également donné lieu à des problèmes de sécurité. Elle permet aux cybercriminels et autres acteurs malveillants d’exploiter les failles engendrées par le recours au télétravail.
« Les vulnérabilités des logiciels d’accès à distance, de l’infrastructure domestique et, surtout, l’attitude des utilisateurs à l’égard des réseaux domestiques ont favorisé un nombre important d’incidents :les télétravailleurs sont à l’origine d’une faille de sécurité dans 20 % des organisations », souligne le BCI.
Cette « enquête illustre l’énorme disparité de l’impact financier des incidents. Un « défacement »temporaire d’un site web ne coûte probablement pas grand-chose à rectifier (mais quid de l’image de marque, NDLR…°, étant donné que les compétences pour le faire sont probablement disponibles en interne, ou du moins auprès d’une équipe externe. Il en va tout autrement d’une infection catastrophique par ransomware provoquant une interruption quasitotale et prolongée de l’activité », rappelle le BCI.
Les mesures mises en place par de nombreuses organisations permettent de contrer les conséquences financières des attaques : 45,5 % des professionnels interrogés ont déclaré que l’incident le plus important n’avait entraîné aucun coût pour eux.
Pour le BCI, un engagement élevé de la direction en faveur de la cyberrésilience se traduit par une réduction des coûts : « pour les organisations dont le niveau d’engagement de la direction est “élevé”,50 % ont déclaré que les cyberattaques n’avaient entraîné aucun coût au cours de l’année écoulée.
Un quart a estimé que les coûts cumulés étaient inférieurs à 5 000 euros. Mais pour aider à clarifier la nature des coûts concernés, le BCI a demandé si les répondants avaient inclus dans leur chiffre les coûts directs et indirects.
Une approche transversale
Plus d’un tiers [34,9 %] ont répondu qu’ils n’étaient pas sûrs, 39,6 % ont dit qu’ils l’avaient fait et un quart ont avoué qu’ils ne l’avaient pas fait. Or, l’intégration des coûts indirects est une approche plus réaliste pour évaluer le coût potentiel des cyberincidents du point de vue de la continuité des activités.
Dans la plupart des organisations en dehors du secteur informatique lui-même, la cybersécurité a commencé par être du ressort du département informatique, puis est devenue une sous-section de celui-ci.
Depuis le milieu des années 2010, elle est de plus en plus considérée comme une fonction à part entière. D’après l’enquête du BCI, c’est une fonction distincte dans 38,1 % des organisations interrogées, tandis que l’informatique gère la question dans 29,3 % des cas. La direction générale assume une responsabilité directe de la cybersécurité dans 12,9 % des cas [en particulier dans les petites organisations].
L’émergence d’un noyau de pratiques standard est constatée par le BCI : les données critiques sont régulièrement sauvegardées par 80,6 % des organisations, mais les 19,4 % d’organisations qui n’emploient pas de telles pratiques constituent un problème majeur.
En guise de conclusion, le BCI indique que « si l'emploi de professionnels de la cybersécurité est essentiel pour garantir la cyberrésilience, il est essentiel que les organisations adoptent une approche transversale et éliminent les cloisonnements afin d'élaborer des plans de continuité des activités liés à la cybersécurité. La collaboration à l'échelle de l'entreprise est donc cruciale pour garantir la résilience opérationnelle ».