Gouvernance des données, organisation et processus complexes, empilement technologique, interdépendance des systèmes d’information, face à la complexité de l’architecture IT et la recrudescence des attaques, des approches plus globales et simplifiées sont préconisées.
Jusqu’à très récemment, les problèmes liés à la cybersécurité étaient traités sous l’angle purement technologique, y compris la formation, ou plutôt la sensibilisation, des collaborateurs. Les entreprises ont ainsi accumulé des couches logicielles et matérielles qui n’ont fait qu’augmenter la difficulté de gouvernance de la cybersécurité. De plus, les interconnexions numériques se multiplient et forment des réseaux de plus en plus intriqués. De fait, face à la montée de la cyberinsécurité, les sujets de préoccupation sont multiples. Par exemple, la gouvernance des données et l’architecture technique des infrastructures arrivent en tête des facteurs de complexité.
C’est ce que constate l’étude Global Digital Trust Insights 2022du cabinet de conseil et d’audit PwC. Elle démontre que près de trois quarts des répondants affirment que la complexité de leur organisation présente des risques « préoccupants » pour maîtriser le risque cyber et en particulier la confidentialité de l’information. L’enquête, menée auprès de 3 600 dirigeants et cadres supérieurs dans le monde, révèle que 75 % des répondants font état d’une trop grande complexité de leur cybersécurité : gouvernance des données, organisation et processus complexes, empilement technologique, interdépendance des systèmes d’information…
La chaîne d’approvisionnement, le maillon faible
Face à cette interconnexion croissante des systèmes, les dirigeants ont par ailleurs conscience que les conséquences des cyberattaques augmentent à mesure que l’interdépendance des systèmes s’accroit. Pourtant, la majorité des incidents pourraient être évités grâce à certaines bonnes pratiques et à des contrôles rigoureux, alors que 60 % des cadres supérieurs interrogés anticipent une hausse de la cybercriminalité en 2022. De même, 58 % s’attendent à une intensification des attaques sur leurs services cloud.
Ces inquiétudes reflètent également les enjeux auxquels les organisations font face pour instaurer la confiance dans leurs données. En effet, 56 % des répondants affirment que leur organisation prévoit une augmentation de la compromission des systèmes d’information via l’écosystème étendu de l’entreprise, en particulier la chaîne d’approvisionnement. Mais, malgré cette prise de conscience, peu d’entreprises ont lancé une évaluation des risques pouvant survenir à travers la chaîne d’approvisionnement. L’étude révèle que seuls 34 % des répondants ont formellement évalué leur exposition au risque cyber.
Une approche simple et globale
Face à cette situation, PwC préconise un « choc de simplification ». S’appuyant sur l’étude, le cabinet de conseil affirme« qu’intégrer la cybersécurité dans tous les processus de l’entreprise permet une meilleure performance de la cybersécurité ». Les 10 % d’entreprises considérées comme les plus performantes en matière de cybersécurité ont adopté quatre bonnes pratiques.
- Faire de la sécurité un impératif business. Les dirigeants doivent énoncer ce principe fondamental de façon explicite et sans ambiguïté. La cybersécurité doit ainsi être intégrée dans tous les processus de l’entreprise.
- Renforcer le leadership de la fonction cybersécurité. La collaboration de l’ensemble des parties prenantes (RSSI, DSI, métiers) doit être un facteur de simplification de la cybersécurité. Chaque entreprise doit définir le modèle d’exécution des activités cyber le plus approprié selon son contexte : présence géographique/taille, empreinte technologique/complexité de l’écosystème, capacité à maintenir la compétence cyber en interne, existence de partenariats d’expertise cyber…
- Établir des priorités d’action. Les risques évoluent continuellement à mesure que les ambitions numériques augmentent. Les données et les informations disponibles doivent être utilisées pour mesurer les risques en continu. Disposer d’approches et d’outils permettant le suivi des risques en continu devient indispensable dans l’approche cyber.
- Consolider la maîtrise des systèmes d’information. Cela implique d’identifier les angles morts des systèmes d’information, notamment dans les relations avec les tiers, et de renforcer la démarche de supervision et de contrôle.