À mesure que l'incidence des cyberattaques augmente, les entreprises doivent être mieux préparées pour atténuer ces événements. Les cybercriminels ont de plus en plus accès à des outils tels que les ransomwares, ce qui leur permet de lancer des attaques plus facilement. Par conséquent, il est impératif que les entreprises disposent d'une stratégie de gestion des risques cybernétiques définie pour faire face à ces attaques.
Il est intéressant de noter que, selon une étude récente, même le Canada, avec son marché relativement petit, a enregistré le troisième taux de cyberattaques le plus élevé au monde. Les coûts liés au traitement des cyber-infractions sont également à la hausse, le Canada en ayant parmi les plus élevés. En 2018, le coût moyen d’une cyber-violation s’élevait à 3.86 USD, en hausse de 6.4% par rapport à l’année précédente. Une raison possible à cela est la tendance troublante découverte par l’Autorité canadienne pour les enregistrements Internet (ACEI) selon laquelle 37% des répondants à l’enquête n’avaient pas de protection contre les logiciels malveillants et 71% n’avaient pas de politique de correction.
Avec des tendances aussi troublantes, il est clair que le cyber-risque devrait figurer en bonne place sur la liste des priorités à atténuer. Les organisations devraient envisager de prendre en compte quelques facteurs clés pour faciliter le traitement d'une cyberattaque au fur et à mesure de son déroulement.
Communication claire des risques cybernétiques au conseil
En cas de cyber-violation, un CIO intervient pour évaluer les risques, le coût possible de la violation et mettre en œuvre la stratégie d'atténuation des risques de l'organisation (qu'ils ont mis en place, espérons-le, voir pourquoi ci-dessous). Ce processus est issu d’une expérience de compréhension approfondie de la cybersécurité et n’est pas forcément transposé au conseil d’administration. En tant que tel, un élément clé des rapports sur les risques du conseil d'administration doit être une prise de conscience de l'endroit où le conseil comprend la cybersécurité et comble le fossé existant dans la réflexion sur les risques informatiques entre l'équipe de technologie et le conseil d'administration. Le conseil d'administration pourrait considérer une violation comme un problème mineur et le placer au bas de la liste des priorités à traiter. Ils doivent être sensibilisés et informés de manière proactive que si une cyberattaque frappait la société, quels seraient les effets en termes de dollars réels (sans parler de la réputation de la société et de la sécurité de l'information), pourquoi ils devaient être concernés et comment procéder post-violation. Cela créera une plus grande compréhension de la cybersécurité dans l'esprit du conseil et le placera plus haut dans sa liste de priorités.
Avoir une stratégie définie de gestion des cyber-risques
Une stratégie de gestion des risques informatiques vous permettra de vous démarquer des cybercriminels et vous donnera un plan clair à suivre pour atténuer la violation. Imaginez une attaque DDoS qui ferme les serveurs de l'entreprise, empêche les clients potentiels de communiquer avec votre site Web et provoque une baisse des achats (lire: chiffre d'affaires). Une stratégie de risque définie permettra d'atténuer rapidement les attaques et de minimiser l'impact sur votre bilan.
Un autre atout qui peut être affecté par une cyberattaque est la réputation de l’entreprise - elle est intangible, mais elle est inestimable. La violation d'Equifax devrait être une étude de cas dans le livre de la gestion de la stratégie de cyber-risque terrible. La société a annoncé l'infraction en septembre 7, 2017. La première fois qu’elle avait constaté un trafic suspect, c’était en juillet 7, après quoi une société de cybersécurité indépendante avait été engagée pour mener une enquête sur l’attentat qui avait débuté le mois d’août 2. Ces grands délais montrent qu'Equifax était en train de chercher un moyen d'atténuer l'attaque ou était simplement paresseux (ce qui est encore pire). Pour aggraver les choses, les dirigeants d’Equifax ont vendu des actions de la société entre août 1.8 et 1, créant l’impression qu’ils étaient au courant de la violation (bien qu’ils l’aient niée) et nuisent davantage à la réputation de la société.
Conclusion
Avec de nouvelles cyberattaques de plus en plus dangereuses organisées par des criminels, l'atténuation des cyberrisques devrait être la pierre angulaire du cadre de gestion des risques d'une entreprise. La communication du conseil d'administration est importante pour cela et elle est cruciale pour fournir à une organisation un plan de réponse à la suite d'une cyber-violation.