2022 a été une année difficile pour la sécurité des entreprises, la guerre russo-ukrainienne enhardissant les cybercriminels et les ransomwares en tant que service commençant à se développer. Le Worldwide Cyber Security Outlook 2023 du World Economic Online Forum (WEF) et d’Accenture prévoit que le paysage des menaces pourrait encore s’aggraver.
L’étude du WEF et d’Accenture a révélé que 86 % des magnats et 93 % des Les cyberleaders pensent que l’instabilité géopolitique mondiale est la plus susceptible de conduire à un cyberévénement désastreux dans les 2 prochaines années.
En outre, le rapport a révélé que l’incertitude géopolitique obligeait les entreprises à changer de lieu d’investissement, 49 % des chefs d’entreprise et des cyberleaders affirmant qu’ils le feraient « réévaluer les pays dans lesquels leur entreprise fait des affaires » en réponse à la menace géopolitique.
Sur une note plus positive, l’étude a également révélé que les entreprises qui intègrent le cyber-risque dans le processus de prise de décision sont plus confiantes dans leur cyber-résilience et beaucoup mieux à même de se remettre des cyberattaques.
Le conflit géopolitique sera l’occasion d’engager la conversation sur le danger
Alors qu’il reste à voir si ces prévisions d’une cyberattaque dévastatrice concernera la concrétisation, il y a eu en fait une variété de violations importantes au cours des dernières années avec suffisamment d’élan pour être considérées comme catastrophiques.
L’un des plus tristement célèbres s’est produit en 2020. L’attaque de la chaîne d’approvisionnement de SolarWinds a conduit à le compromis de 100 entreprises et 9 entreprises fédérales. En 2021, l’attaque du rançongiciel Colonial Pipeline a forcé l’organisation à fermer 5 500 milles de pipelines.
Alors que la guerre russo-ukrainienne se poursuit, le rapport constate que le danger géopolitique « est un point d’entrée pour une discussion plus large entre les responsables de la sécurité et les chefs d’entreprise sur l’évolution des cybermenaces » et sur la manière dont le risque peut avoir un impact sur la continuité de l’entreprise planification.
Avoir cette conversation est important pour atténuer la menace créée par les cybermenaces émergentes. La façon dont ces menaces se manifesteront dépend du débat, mais John France, CISO de (ISC)2, affirme que la compromission ICS/OT est la voie la plus probable pour un grand cyberévénement.
« Je pense que nous pourrions voir une événement de l’année prochaine, et ce sera un événement dans l’espace des technologies ICS / OT. En raison de la longue durée de vie, du manque de sécurité par conception (souvent dû à l’âge) et du problème de patch, dans les domaines cruciaux de la mission – une attaque dans ce l’espace aurait des impacts énormes qui se feront sentir », a déclaré France.
« Je suis donc quelque peu d’accord avec l’hypothèse du rapport et les facteurs de l’enquête. Vous pourriez actuellement dire que nous avons vu une attaque modérée avec UK Royal Mail, où un ransomware a arrêté l’envoi de colis dans le monde entier pendant une semaine ou plus », a déclaré France.
La France soutient que les entreprises peuvent se protéger de ces risques en consacrant davantage de ressources à des mesures défensives et en traitant la cybersécurité comme une question de conseil d’administration.
Les étapes clés comprennent la mise en œuvre d’étapes réactives, l’offre aux employés d’exercices sur la façon de réagir, l’exécution de stratégies de récupération, la préparation à l’instabilité de la chaîne d’approvisionnement et la recherche de fournisseurs alternatifs qui peuvent fournir des services vitaux en cas de perturbation.
Un écart entre la sensibilisation aux cyber-risques et l’action
Une autre conclusion cruciale du rapport est que dans de nombreuses organisations, il existe un écart entre la sensibilisation aux cybermenaces et l’exécution des actions requises pour atténuer ces dangers.
Alors que 86 % des dirigeants d’organisations pensent qu’il y aura un cyberévénement catastrophique dans les 2 prochaines années, et 43 % pensent qu’une attaque affectera leur organisation dans les deux prochaines années, seuls 27 % pensent que leurs entreprises sont cyber -résilient.
« C’est comme dire que vous êtes relativement certain que l’eau inondera votre maison et qu’il y aura des dégâts importants, mais vous êtes à peu près sûr que vous n’êtes pas préparé pour cela », a déclaré Paolo Dal Sin, directeur général principal, responsable de la sécurité chez Accenture.
En conséquence, les responsables de la sécurité doivent renforcer la communication interne avec le conseil d’administration s’ils souhaitent intégrer la gestion des cyber-risques dans une prise de décision descendante. Une façon d’améliorer la communication est d’améliorer l’assimilation des risques aux résultats de l’entreprise.
« Les chefs d’entreprise savent qu’ils doivent faire plus pour intégrer le cyber-risque dans la prise de décision, car la cyber-résilience est synonyme de force de l’entreprise. Il a besoin d’un effort d’équipe soigneusement collaboré au sein de la suite C pour acquérir une vision plus claire des menaces actuelles et émergentes afin que la sécurité puisse être enracinée dans toutes les préoccupations de l’organisation tactique et protéger le code numérique », a déclaré Dal Sin.
Le recyclage est la réponse à l’espace des cybercompétences
Le rapport recommande des moyens que les entreprises peuvent travailler pour réparer l’espace des cybercompétences. Cela revient à mieux utiliser les généralistes et les experts pour protéger l’environnement.
« Les gens pensent que la cybersécurité est quelque chose de très technique. Oui, certains rôles nécessitent un savoir-faire technique approfondi, mais la cybersécurité est un domaine immense et rendre une entreprise cyber-résiliente nécessite également des rôles généralistes qui nécessitent un ensemble de compétences plus large, de l’éducation et de la sensibilisation à la rédaction de politiques, à la gouvernance et autres. Nous avons besoin de plus de personnes dans les fonctions techniques et généralistes », a déclaré Bobby Ford, vice-président senior et directeur de la sécurité, Hewlett Packard Enterprise.
Au lieu de rivaliser pour un petit échantillon de spécialistes hautement qualifiés en cybersécurité qui restent dans le besoin, les entreprises doivent viser à aider à accroître la circulation des talents en cybersécurité au sein de la main-d’œuvre en élargissant le vivier de talents.
En termes utiles, le rapport suggère « d’élargir le discours sur qui peut opérer dans la cybersécurité. » Il s’agit de rendre possible et/ou de former des personnes issues de formations non techniques, ainsi que celles extérieures au système éducatif et celles issues de groupes sous-représentés – ouvrir des possibilités de reconversion par le biais de la découverte sur le tas ou par le biais d’apprentissages.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de la technologie d’entreprise transformatrice et de ne gotier. Découvrez nos Briefings.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur