Développer une culture de la gestion des risques
Avec l’évolution du numérique se développent naturellement de nouvelles menaces, et les groupes de cyber-criminels se multiplient et perfectionnent leurs techniques de piratage. Vol de données, actes frauduleux, déstabilisations, selon la Commission européenne, 80 % des entreprises de la zone ont été touchées au moins une fois par des cyber-attaques depuis 2016. Or, les organisations ne mesurent pas toujours l’ampleur du danger que représente une cyber-attaque. La culture de la gestion des risques n’y progresse seulement qu’à l’occasion d’une confrontation douloureuse ou coûteuse avec une attaque.
Ce fut le cas du NHS (National Health Service) au Royaume Uni l’année dernière. L’organisation publique possédait des dizaines de milliers d’ordinateurs tournant sous Windows XP qui n’étaient plus maintenus par Microsoft, et ne bénéficiaient donc pas de mises à jour. C’est cette faille que les attaquants ont exploitée, impactant ainsi cinquante hôpitaux qui ne pouvaient plus accéder à leurs applications de gestion des historiques médicaux, et ne pouvaient donc plus réaliser aucune opération médicale et chirurgicale pendant plusieurs jours. NHS ne fut pas la seule victime de Wannacry : Vodafone, FedEx, Renault, Telefónica, le ministère de l'Intérieur russe ou encore la Deutsche Bahn s’en souviennent encore…
Les organisations sont encore trop vulnérables aux cyber-attaques
Toutes les applications et systèmes d’exploitation comportent des failles qui ne sont pas toujours réparées à temps par les éditeurs, et encore trop d’organisations ne mettent pas à jour suffisamment régulièrement leurs systèmes et logiciels. Ce sont ces vulnérabilités qu’exploitent les cyberpirates. Ils utilisent notamment la technique du phishing, qui consiste à usurper une identité via l’envoi d’emails frauduleux pour dérober des données ou de l’argent, et provoquer des incidents ou interruptions opérationnelles.
Si les DSI connaissent bien ces risques, pourquoi peinent-elles encore à déployer des programmes de gestions des risques IT ? Parce que les mises à jour nécessitent une préparation longue et consommatrice de ressources – une faille peut donc perdurer pendant plusieurs mois avant d’être corrigée. Mais aussi parce que le rythme de performance imposé par les directions générales étant court-termistes, ils s’opposent aux déploiements de politiques de sécurité qui nécessitent des investissements et qui ne sont profitables qu’à moyen et long terme. La sécurité est donc trop souvent vue comme un centre de coûts et non comme un centre de profits.
Transformer la DSI en centre de profits
Et pourtant, après Wannacry, combien les organisations ont-elles dépensé en frais d’enquêtes techniques, en honoraires d’avocats, en primes d’assurance. Quelles ont été leurs coûts non-quantifiables en termes d’interruptions d’activité et de perte de confiance de leurs clients ? Et combien d’efforts et de ressources ont-elles dédié à la sécurisation des données clients, à la mise en conformité réglementaire (notamment avec l’entrée en vigueur du RGPD le mois dernier) ainsi qu’à l’amélioration des dispositifs de cyber-sécurité ? Si les entreprises victimes de Wannacry n’ont évidemment pas révélé son coût total, les conséquences restent tout de même présentes.
Avec l’idée de tirer des leçons de cette attaque, les entreprises (déjà victimes ou même futures victimes) devraient se préparer à contrecarrer la prochaine attaque, ceci en réduisant les failles exploitables par les assaillants mais aussi en minimisant l’impact d’une telle attaque sur l’entreprise entière.
Avant de réduire les failles en question, il faut d’abord les identifier : construire un catalogue référençant tout le parc applicatif et les technologies qui les sous-tendent afin de gérer leur obsolescence et leurs risques est un bon point de départ. A la suite de cette identification, la DSI peut soit migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper ou sinon déclarer et gérer le risque de continuer l’utilisation de technologies obsolètes.
Une fois les failles identifiées et adressées, il sera alors nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Ceci est rendu possible par une analyse des processus et des fonctions de l’entreprise qui comptent sur les applications affectées. La minimisation de cet impact peut être représentée par la mise en place d’un plan d’urgence.
Si vous voulez en savoir plus sur la gestion du portefeuille applicatif dont et la maîtrise des risques liés à l’obsolescence technologique, téléchargez notre livre blanc « Trois étapes pour créer de la valeur métier grâce à la gestion du portefeuille applicatif » !
