Le risque Cyber est devenu un risque majeur pour les entreprises qui peuvent se sentir démunies face à l’évolutivité de la menace et à la diversité des attaques. De plus en plus diffus et difficile à appréhender, il nécessite une approche globale et une coopération renforcée que bien des Risk Managers et des Responsables de la Sécurité des SI peinent à mettre en œuvre. Pour autant il existe des solutions pragmatiques permettant de rassembler les parties prenantes autour de la gestion de ce risque et il est urgent que les entreprises mobilisent leurs ressources pour se préparer au mieux.
777 attaques hebdomadaires en moyenne sur la zone EMEA (+36%), 18 000 organisations touchées par larisk seule attaque SolarWinds, une hausse de 93% du nombre d’attaques par rançongiciel dans le monde (+300% en France selon l’ANSSI), un impact financier de la cybercriminalité anticipé à 6 000 milliards de dollars en 2021… Les derniers chiffres publiés sur la cybermenace donnent le vertige [1].
La digitalisation de l’économie et des activités s’accélère avec des Systèmes d’Information (SI) de plus en plus nombreux et interconnectés dans une entreprise désormais étendue. En parallèle, les cyberattaquants se professionnalisent, multipliant les attaques et renforçant leur technicité, leur profondeur et leur rapidité. Les cybercriminels visent dorénavant l’ensemble des activités de l’entreprise, y compris le cœur des métiers (notamment les systèmes industriels, réseaux logistiques, systèmes qualité ou de paiement) et n’hésitent plus à utiliser son écosystème comme relai. Ces tendances ont transformé le risque Cyber en risque polymorphe, plus diffus et plus difficile à appréhender et dont la gestion dépasse largement la sphère technique : les barrières traditionnellement érigées autour du SI de l’entreprise et gérées par un Responsable de la Sécurité des SI (RSSI) « expert » ont montré leurs limites. L’adoption d’une approche aussi holistique que possible est impérative.
Malgré cette conviction largement partagée par les instances spécialistes de la gestion des risques et de la cybersécurité (AMRAE, ANSSI…), la collaboration autour du risque Cyber dans les entreprises françaises est encore trop souvent théorique. Le rapport émis par le Sénat en juin 2021 déplore d’ailleurs un « fonctionnement en silo du management » et une « coopération minimaliste » ne permettant pas de diffuser une culture du risque partagée et une attitude commune face à la menace. Nous observons ce manque de collaboration au quotidien chez nos clients, en particulier entre le RSSI, le Risk Manager (RM) et les porteurs de risques au niveau opérationnel.
L’articulation entre les fonctions de RSSI et de RM reste difficile tant que la Direction Générale n’a pas positionné le risque Cyber comme un risque stratégique et imposé une coopération renforcée à haut niveau. Mais, même lorsque cette volonté a été exprimée, les écueils persistent : RM et RSSI ont évolué de manière parallèle dans leur approche du risque, développant des positionnements, des référentiels, des méthodes et des critères propres. Pourtant tous deux ont des objectifs complémentaires de résilience et d’efficience et s’appuient sur des informations similaires. Tous deux tirent notamment bénéfice d’une vision en coût total du risque incluant l’estimation des pertes financières et l’évaluation du coût des solutions de transfert et de protection/détection. Cette vision permet au RSSI de rationaliser les mesures de sécurité à déployer en les évaluant au regard des enjeux réels et, lorsque le RM a en charge le pilotage des assurances, elle lui est utile pour estimer le coût des sinistres potentiels et définir les montants à transférer ou à conserver en rétention.
Au-delà de ce fonctionnement en silo entre RSSI et RM, la gestion des risques Cyber en entreprise est encore trop souvent décorrélée des porteurs de risques opérationnels. Nous observons que le RSSI est encore trop fréquemment identifié comme le principal « responsable » du niveau de sécurité informatique de l’entreprise et qu’il est éloigné des bénéficiaires de son action : les métiers. Cet éloignement se ressent notamment dans la gestion des projets informatiques : nombreux sont les projets soumis tardivement auxquels le RSSI doit imposer des contraintes qui auraient pu être anticipées via une meilleure sensibilisation des métiers. Ce manque de proximité avec les opérationnels est également visible du côté du RM, notamment au travers des programmes d’assurances. Dans un marché assurantiel historiquement baissier, nombre de RM ont souscrits des contrats Cyber standards sans s’interroger sur leurs besoins de manière concrète et opérationnelle. Le marché s’étant retourné, certains ont dû se rapprocher des métiers pour mieux comprendre les enjeux… découvrant parfois que les scénarios Cyber les plus redoutés des métiers s’avéraient exclus ou insuffisamment couverts.
Le constat étant posé, comment rapprocher les différents acteurs impliqués dans la gestion du risque Cyber. La première étape en ce sens doit consister à rassembler le RM et le RSSI au travers d’un discours commun et d’outils les plus homogènes possibles pour établir progressivement un vocabulaire, des échelles de classification et des méthodologies partagés leur permettant de mieux se comprendre et de mieux collaborer. La seconde étape visera à mettre en place une relation conjointe renforcée avec les opérationnels. Les métiers sont aujourd’hui sur-sollicités par les acteurs de la gestion des risques. Harmoniser les démarches relatives au risque Cyber peut donc permettre d’aboutir à une meilleure compréhension, une plus forte adhésion et plus d’efficience.
Parmi les approches existantes permettant de franchir ces deux étapes, l’ANSSI propose une méthode d’analyse des risques Cyber pragmatique, mais malheureusement méconnue par les risk managers et appliquée de manière parfois trop limitative par les RSSI : EBIOS RM.
Déroulée dans sa totalité, cette démarche de gestion des risques permet de répondre aux enjeux de coopération autour du risque Cyber en entreprise. Elle se veut simple à mettre en place et utilise des éléments concrets, des scénarios et des outils graphiques pour faciliter la participation de non spécialistes de la sécurité des SI (RM et opérationnels) au processus de détermination et d’appréciation du risque Cyber. EBIOS RM propose une approche graduelle partant des objectifs stratégiques de l’objet de l’étude (site de production, activité…) pour s’intéresser ensuite aux éléments constitutifs du SI en tant que ressources essentielles à l’atteinte de ces objectifs et aux menaces pouvant les impacter. A chaque étape les éléments les plus critiques sont identifiés et des priorités sont fixées. L’approche par le concret et la participation active des métiers facilitent l’identification des impacts, le développement d’une vision transverse et une meilleure appréhension des enjeux par tous. Elle responsabilise l’ensemble des parties prenantes et suscite le dialogue pour trouver le bon compromis entre priorités opérationnelles, risques et moyens de gestion à mettre en place (sécurité SI, transfert…). EBIOS RM permet en outre de répondre à des objectifs multiples de différents niveaux (stratégique, opérationnel, technique…) en associant à une approche par scénarios réalisée d’un point de vue métier/stratégique, l’étude de ces scénarios d’un point de vue technique et une approche par conformité (évaluation classique du socle de sécurité existant).
Dans les cas de collaboration RM/RSSI que nous avons observés, le déroulement d’EBIOS RM a permis des avancées concrètes en quelques semaines. La plupart du temps, le RM a utilisé les résultats pour renforcer globalement le processus de management du risque numérique, un objectif stratégique de l’entreprise. Il s’est également appuyé sur les scénarios identifiés et quantifiés par les opérationnels pour dialoguer de manière plus constructive avec ses assureurs et leur soumettre des éléments à la fois concrets et techniques. Les RSSI concernés ont quant à eux pu capitaliser sur des scénarios techniques complexes pour adresser leurs objectifs techniques de détermination des vulnérabilités du SI.Ils ont également gagné en visibilité auprès des opérationnels et obtenu des éléments de quantification concrets permettant de rendre des arbitrages éclairés sur les moyens de prévention/protection à mettre en place.
Pour faire face à l’acuité de la menace Cyber et au risque vital qu’elle représente pour l’entreprise, il y a urgence à mobiliser et à désiloter l’organisation en adoptant une approche transverse. En tant que responsable de la cartographie des risques en relation avec toutes les fonctions de l’entreprise, le RM est sans doute le mieux placé pour jouer un rôle d’ensemblier et faire converger les objectifs.
Chiffres clés :
777 attaques hebdomadaires en moyenne sur la zone EMEA en 2021
Une hausse de 93% du nombre d’attaques par rançongiciel dans le monde
6 000 milliards de dollars : impact financier de la cybercriminalité en 2021
[1] Sources : ANSSI, Cybersecurity Ventures, Check Point Software Technologies
