Comment passer d’une sécurité réactive à une sécurité intégrée ? Comment passer d’une sécurité réactive à une sécurité intégrée ?

Auteurs
Marc Ayadi

Associé, EY Consulting, Cyber leader, WEM, France

Cyber Leader. Persuadé que le combat contre le cyber-risque est un combat d’équipe dont l’humain est clef. Passionné par l’histoire et les anciennes civilisations.

Laurent Peliks

Associé, Consulting, Cyber, France

Expert cyber, Laurent accompagne les organisations depuis l’identification de leurs risques majeurs jusqu’à la mise en œuvre de leur roadmap cyber.

Fabrice Groseil

Associé, Consulting, Cyber, France

Aider nos clients à relever les nouveaux défis de cybersécurité induits par les nouveaux usages et les nouvelles technologies.

Olivier Patole

Associé, Consulting, Cyber, France

Entrepreneur dans l’âme, curieux par nature, passionné de cybersécurité, je cherche à innover et à contribuer au développement de la gestion du cyber-risque.

22 juin 2020

Découvrez les principaux enseignements de la 22ème édition de l’étude annuelle EY sur la cybersécurité.

Il y a plus de 20 ans, EY publiait la première édition de son étude sur la sécurité de l’information et durant ces deux décennies, nous avons vu la menace des cyberattaques augmenter toujours plus et se transformer, et nous avons constaté tous les efforts des organisations pour mieux se protéger.

Aujourd’hui, nous faisons face à des menaces plus présentes que jamais, avec des techniques de plus en plus innovantes et avec des motivations très diverses.

Pour cette nouvelle édition de notre étude, nous avons interrogé plus de 1300 organisations et sur cette base, nous pouvons confirmer que les conseils d’administrations et les directions générales s’engagent de plus en plus pour répondre aux menaces.

Mais il reste encore énormément de travail à accomplir, notamment pour surveiller ces risques en constante évolution et s’adapter aux innovations toujours plus rapides. Face à ces menaces croissantes, les fonctions de cybersécurité doivent devenir de véritables catalyseurs de changement et mettre en place une sécurité intégrée, où de nouvelles relations s’établissent entre les responsables de la sécurité des informations (RSSI ou CISO), le comité de direction et toutes les fonctions de l’entreprise.

  • Qu'est-ce que la sécurité intégrée ?

    La sécurité intégrée (Security by Design en anglais) est une nouvelle approche qui inclut la cybersécurité dans toute initiative dès sa conception, et non a posteriori. Elle facilite l’innovation en toute confiance. C’est une approche stratégique et pragmatique qui fonctionne au sein de toutes les organisations. La sécurité intégrée est incorporée dans chaque étape du cycle de vie de l’initiative afin de faciliter la gestion continue et la réduction des risques liés à la sécurité.

Principaux enseignements

Pour cette nouvelle édition de l’étude sur la sécurité de l’information, EY a mis l’accent sur le rôle évolutif de la fonction cybersécurité, qui se décompose en trois parties.

Une communication systématiquement défaillante

Communication défaillante

36%

des entreprises répondantes déclarent que la cybersécurité est prise en compte dès la planification d'une nouvelle initiative commerciale.

Le nombre croissant de cyberpirates activistes, qui représentent la seconde source d’attaques significatives la plus courante, démontre qu’il est nécessaire que la fonction cybersécurité ait une compréhension beaucoup plus approfondie de l’environnement commercial de son entreprise.

Cela signifie que les RSSI, le comité de direction et les dirigeants doivent collaborer étroitement avec le reste de l’entreprise, afin que la cybersécurité soit intégrée à un stade beaucoup plus précoce du cycle de vie des nouvelles initiatives commerciales, et pour développer une culture de sécurité intégrée dès leur conception.

  • Informations clés

    • Le nombre de cybermenaces et de menaces liées à la sécurité des informations augmentent. 59% ont été confrontées à un incident en matière de sécurité de l’information au cours de l’année écoulée.
    • 21% de ces incidents provenaient d’« hacktivistes » (un activiste utilisant les compétences du piratage informatique afin de favoriser des changements, politiques ou sociétaux). Elles arrivent juste derrière les cyberattaques orchestrées par des organisations criminelles (23%).
    • Notre étude EY Global Board Risk Survey révèle que 48% des comités de direction pensent que les cyberattaques et les fuites de données auront un impact conséquent sur leurs activités au cours des 12 prochains mois.
    • Les dépenses de cybersécurité sont motivées par des priorités défensives, et non par l’innovation et la transformation : 77% des dépenses liées aux nouvelles initiatives de sécurité sont axées sur le risque ou la conformité plutôt que sur la transformation.
    • Un répondant sur cinq alloue un maximum de 5% de son budget de cybersécurité au développement de nouvelles technologies.

Confiance et relations au sein des entreprises

59%

des entreprises déclarent que la relation entre la fonction cybersécurité et le reste de l'entreprise est neutre, méfiante ou inexistante.

Mesures de mitigation

20%

des comités de direction sont convaincus que les mesures de mitigation des risques qui leur sont présentées leur permettraient de se prémunir contre les cyberattaques.

  • Informations clés

    • 74% des entreprises déclarent que la relation entre la cybersécurité et leur fonction marketing est neutre, méfiante, ou inexistante, 64% en disent de même pour leur équipe de recherche et développement, et 59% pour l'ensemble de leur entreprise.
    • La relation entre les équipes cybersécurité et la fonction finance est encore moins établie alors qu’elles dépendent de cette dernière pour les autorisations de budget, et que 57% des entreprises déclarent que leur budget cybersécurité n’est pas suffisant.
    • 48% des répondants estiment que le comité de direction ne dispose pas d’une bonne compréhension des risques en matière de cybersécurité. 43% déclarent que le comité de direction ne comprend que partiellement la valeur ajoutée et les besoins inhérents à la cybersécurité.
    • Selon l’étude EY Global Board Risk Survey, environ 50% des répondants ont déclaré que leur comité de direction n'avait pas ou peu confiance en la fonction cybersécurité de leur entreprise.
    • Seules 54% des entreprises inscrivent régulièrement la cybersécurité à l’ordre du jour du comité de direction.
    • Six entreprises sur dix disent ne pas pouvoir prouver l’efficacité de leurs dépenses en matière de cybersécurité à leur comité de direction.

Le RSSI catalyseur de la transformation

Innovation

7%

des entreprises décriraient la cybersécurité comme un moteur d’innovation. La plupart d’entre elles choisissent des termes tels que « axée sur la conformité » et « averse aux risques. »

Etablir des relations plus solides avec le reste de l'entreprise et le comité de direction, une meilleure compréhension des impératifs commerciaux, et une capacité à anticiper les cyber-risques, permettraient aux RSSI d’être au cœur de la transformation de leur entreprise.

Pour ce faire, ils doivent adopter un nouvel état d’esprit, et acquérir de nouvelles compétences dans des domaines tels que la communication, la négociation et la collaboration. Les RSSI qui deviendront alors de puissants catalyseurs de changement seront ceux qui, au lieu de refuser de nouvelles initiatives, les accepteront en définissant les conditions de sécurité.

  • Informations clés

    • 48% déclarent que la principale motivation des nouvelles dépenses est la réduction des risques, et 29% citent les exigences de conformité.
    • Seuls 9% indiquent que l’activation de nouvelles initiatives commerciales sont à l'origine de nouvelles dépenses.
    • Pour six entreprises sur dix, le responsable de la cybersécurité ne siège pas au comité de direction.
  • Case study AXA

    Arnaud Tanguy –Directeur de la sécurité du groupe AXA

     

    Arnaud Tanguy a pris la fonction de directeur de la sécurité du groupe AXA, en octobre 2018. Son arrivée a marqué la mise en place d’une nouvelle organisation de la sécurité sous le sceau de la convergence de la sécurité. Afin de bénéficier d’une approche des risques holistique, les équipes cybersécurité, de la sécurité physique et résilience opérationnelle ont ainsi été réunies au sein d’une seule et unique fonction sécurité. Selon lui, « Les menaces convergeant, cette approche holistique est fondamentale ».

    Cette réorganisation est venue conforter une vision stratégique de la sécurité. En effet, la fonction sécurité est aujourd’hui positionnée comme hautement stratégique dans le groupe, ce qui permet d’opérer au bon niveau, avec comme but permanent de protéger l’entreprise et ses clients. Arnaud ajoute que « pour qu’un programme de sécurité soit efficace, il ne suffit pas de comprendre l'entreprise et ses objectifs, et de nouer une relation étroite avec toutes ses fonctions, il faut aussi, et c’est essentiel participer directement à la transformation de l’expérience client. La sécurité des solutions digitales comme nos applications ou sites web, la protection des données médicales par exemple : c’est absolument crucial ! Et nous sommes mobilisés pour leur apporter des solutions de confiance dans un monde où les risques, notamment liés au cyber sont légions. La convergence de notre modèle opérationnel nous permet de penser la sécurité comme un tout et de l’intégrer dans l’ensemble de nos projets de développement et d’innovation. C’est ce que nous appelons la « security by design »».

    Ce rôle stratégique est aussi appuyé par une relation étroite entre les équipes de sécurité d’AXA et les hauts dirigeants de l’entreprise. Le Directeur de la sécurité du groupe rapporte directement au Chief Operating Officer, membre du comité exécutif. Selon Arnaud, « cela signifie que la sécurité fait partie des décisions stratégiques d’AXA. Notre rôle est de soutenir la stratégie du groupe, en nous concentrant sur les intérêts de nos clients, au sein d’une entreprise à la pointe de la technologie, et ce afin de protéger notre activité. »

Prochaines étapes et recommandations

1. Mettre le focus sur l'engagement du top management

Il est essentiel que les organisations développent des structures de reporting et des moyens de quantifier la valeur de la cybersécurité qui trouvent écho chez le conseil d'administration. Une étape clé consiste à mettre en œuvre un programme de qualification des impacts, voire de quantification des cyber risques pour une meilleure communication sur ce sujet et monter en puissance dans les discours des comités de direction.

2. Mettre en œuvre des structures de gouvernance adaptées

Les comités de direction et les équipes dirigeantes devraient reconsidérer les rapports hiérarchiques, le contrôle budgétaire et la responsabilité pour diffuser le nouveau rôle de la cybersécurité au cœur du processus d’innovation. Une fois ces éléments définis, développer un ensemble d’indicateurs de performance et de risque clés qui peuvent être utilisés pour communiquer une vision axée sur le risque dans les rapports des dirigeants et des comités de directions. Ces indicateurs consolidés sous forme de tableaux doivent permettre aux comités de direction et aux équipes dirigeantes de vérifier l’efficacité des projets de cybersécurité engagés de manière continue.

3. Transformer la cybersécurité en un catalyseur clé dans la transformation digitale

Intégrer la cybersécurité dans les processus de l’entreprise grâce à une approche « Security by Design ». Intégrer la cybersécurité dans la phase préparatoire de chaque initiative est la stratégie optimale car cela permet de réduire l’énergie et les dépenses liées aux problèmes identifiés après coup et instaure la confiance dans un produit ou un service dès le départ. Pour cela, la cybersécurité doit devenir beaucoup plus intégrée et collaborative.  Cela repose en prérequis sur un accompagnement des acteurs cyber sécurité d’autant plus fort et souvent en mode agile lors de projets digitaux, et nécessite en contrepartie que les acteurs métiers du digital permettent la mise en œuvre d’approche « Security by Design ».

 4. Tisser des liens de confiance avec toutes les fonctions
de l’entreprise

Lorsque la cybersécurité est intégrée à l’organisation, les RSSI sont en position de force pour contribuer à l'innovation et pour être mieux informés des menaces auxquelles l'organisation est exposée. Un moyen essentiel pour y parvenir est d'utiliser les données existantes pour modéliser les processus commerciaux et les contrôles associés, et de collaborer avec les RSSI pour comprendre les véritables impacts de la cybersécurité sur ces processus commerciaux.

Lorsque les preuves deviennent évidentes pour tous, les fonctions commerciales obtiennent un aperçu en temps réel de la sécurité de leurs processus et instaurent de la confiance ; les RSSI gagnent en visibilité sur les risques et menaces potentiels supplémentaires et sur la manière d'aider l'entreprise à les contrôler ou à innover dans ce domaine.

 5. Évaluer l'efficacité de la fonction cybersécurité afin de doter
le RSSI de nouvelles compétences

Les responsables de la cybersécurité doivent avoir un sens commercial, une capacité à communiquer dans un langage que l'entreprise comprend et une volonté de trouver des solutions aux problèmes de sécurité plutôt que de dire "non". Cela commence par la compréhension des forces et des faiblesses de la fonction cybersécurité afin d'identifier les marges de manœuvre dont dispose un RSSI : déterminer si les services « managés » sont utilisés de manière appropriée pour assurer une prestation à l'échelle, à un coût compétitif et avec des résultats efficaces ; évaluer les capacités d'automatisation et d'harmonisation pour réduire l'effort manuel de la fonction cybersécurité et les décharger pour aider la création de valeur ajoutée.  En effet, une réflexion doit être menée par les responsables de la cybersécurité pour déterminer quelles fonctions (ex : opérer un SOC, surveiller les menaces externes, sécuriser les terminaux, auditeur les fournisseurs essentiels, mener des campagnes d’évaluation, etc.) et quels modèles d’organisation (tout interne, externalisé, hybride) doivent être mis en place au sein de leur entreprise pour relever les nouveaux défis de cybersécurité.

Ce qu'il faut retenir

Les organisations font face à des menaces plus présentes que jamais, avec des techniques de plus en plus innovantes et avec des motivations très diverses.

Face à ces menaces croissantes, les fonctions de cybersécurité doivent devenir de véritables catalyseurs de changement et mettre en place une sécurité intégrée, où de nouvelles relations s’établissent entre les responsables de la sécurité des informations (RSSI ou CISO), le comité de direction et toutes les fonctions de l’entreprise.

A propos de cet article

Auteurs
Marc Ayadi

Associé, EY Consulting, Cyber leader, WEM, France

Cyber Leader. Persuadé que le combat contre le cyber-risque est un combat d’équipe dont l’humain est clef. Passionné par l’histoire et les anciennes civilisations.

Laurent Peliks

Associé, Consulting, Cyber, France

Expert cyber, Laurent accompagne les organisations depuis l’identification de leurs risques majeurs jusqu’à la mise en œuvre de leur roadmap cyber.

Fabrice Groseil

Associé, Consulting, Cyber, France

Aider nos clients à relever les nouveaux défis de cybersécurité induits par les nouveaux usages et les nouvelles technologies.

Olivier Patole

Associé, Consulting, Cyber, France

Entrepreneur dans l’âme, curieux par nature, passionné de cybersécurité, je cherche à innover et à contribuer au développement de la gestion du cyber-risque.