La cyber-résilience est la capacité d’une organisation à prévenir, atténuer ou résoudre et réparer les dommages causés par les cyber-menaces. Ces cybermenaces peuvent prendre la forme de ransomware, de corruption de données ou d’innombrables autres cyberattaques. Selon Cybersecurity Ventures, le coût de la cybercriminalité atteindra 8 billions de dollars en 2023, et les organisations doivent s’adapter pour survivre. Si les mesures réactives permettent de limiter et de réparer les dommages, seules les mesures proactives, intégrées dans les fondations mêmes – à la fois dans le code et à tous les niveaux d’une organisation – d’un projet numérique offrent une réelle tranquillité d’esprit.
Au moins une vulnérabilité a été détectée dans 84 % des bases de code.
— Synopsis
L’intégration de la cyber-résilience au cœur d’un nouveau projet numérique exige une évaluation stratégique des risques et des vulnérabilités. La multiplication des violations de données très médiatisées a fait naître un sentiment d’urgence, soulignant que les cybermenaces sont incessantes et potentiellement dévastatrices. Avec 34,5 % des organisations interrogées par Deloitte, qui déclarent que leurs données comptables et financières ont été la cible de cyberattaques au cours des 12 derniers mois, il est impératif de mettre en place une stratégie de cyber-résilience complète, fermement soutenue par la direction générale.
Ce que les organisations doivent faire
Il est essentiel de mettre en œuvre les pratiques de cyber-résilience dès le début du développement, car cela permet de mettre en place un cadre de sécurité fondamental qui est beaucoup plus efficace que les modifications apportées après le développement. Les considérations dont toutes les organisations doivent tenir compte comprennent, sans s’y limiter, les éléments suivants :
Évaluation de la sécurité avant le développement : Il s’agit d’une étape d’évaluation initiale au cours de laquelle les cybermenaces potentielles et les vulnérabilités spécifiques sont identifiées pour le projet numérique, par des chefs de projet hautement qualifiés et expérimentés. Seule la compréhension des problèmes de sécurité particuliers auxquels on peut être confronté permet d’appréhender les risques spécifiques liés à la cyber-résilience.
Intégrer la sécurité dans le cycle de développement : Les mesures de sécurité doivent être intégrées à chaque étape du processus de développement, par des développeurs qualifiés et expérimentés. Lorsque la sécurité est prise en compte dès les premières étapes du codage, les organisations peuvent être sûres d’être protégées au plus haut niveau.
Protocoles d’authentification et d’autorisation robustes : Il s’agit de mettre en place des contrôles de sécurité rigoureux pour l’accès et les autorisations des utilisateurs. La mise en œuvre de mécanismes tels que l’authentification multifactorielle signifie que seuls les utilisateurs autorisés peuvent accéder à certaines parties du système. Il s’agit de vérifier rigoureusement l’identité des utilisateurs et de contrôler leurs niveaux d’accès dès le début du développement.
Techniques de cryptage et de protection des données : Dès le départ, les informations sensibles contenues dans l’application doivent être cryptées, c’est-à-dire qu’elles sont converties en un code sécurisé pour empêcher tout accès non autorisé. Il s’agit notamment de protéger les données lorsqu’elles sont stockées (données au repos) et lorsqu’elles sont transmises (données en transit), ainsi que de mettre en œuvre des pratiques complètes de gestion des clés de sécurité et de stockage des données en toute sécurité.
Exploiter les outils de sécurité et les analyses automatisées : Tout au long du cycle de développement, divers outils de sécurité et processus d’analyse automatisés doivent être utilisés. Ces outils permettent d’analyser en permanence le logiciel en cours de développement afin d’identifier et de corriger les faiblesses en matière de sécurité, réduisant ainsi efficacement le risque de vulnérabilité du produit final.
Conformité avec les normes réglementaires et industrielles : L’alignement du processus de développement sur les normes de sécurité établies et les exigences réglementaires signifie que le nouveau logiciel répond aux exigences légales et adhère aux meilleures pratiques en matière de sécurité, ce qui accroît la confiance globale dans le projet.
Quand la cyber-résilience proactive ne suffit pas
Une fois qu’un produit, un service ou une plateforme numérique est opérationnel, quelle que soit l’exhaustivité des mesures de cyber-résilience intégrées, il nécessite une gestion, une maintenance et une amélioration continues. Il s’agit de mettre en place un ensemble de pratiques, de stratégies et de capacités réactives afin de gérer et de répondre en permanence à l’évolution des cybermenaces qui touchent l’ensemble de l’organisation, des responsables aux équipes de développement. Voici quelques pratiques que les organisations doivent mettre en place :
Planification de la reprise après sinistre : Il est essentiel de créer des plans détaillés pour restaurer le matériel, les applications et les données dans l’état où ils se trouvaient avant la crise, à la suite d’une cyberattaque ou d’une panne de système, afin de minimiser les temps d’arrêt et d’atténuer l’impact sur les activités de l’entreprise.
Plans d’intervention en cas d’incident : Ces plans sont essentiels pour gérer rapidement les cyberincidents, guider les actions telles que l’isolement des systèmes affectés et l’information des parties prenantes, et entamer le rétablissement. Par exemple, en cas d’atteinte à la protection des données, ces plans permettraient de prendre rapidement des mesures de sécurité du réseau et d’informer les clients de l’impact.
Audits de sécurité réguliers : Des évaluations systématiques améliorent le respect des normes de sécurité, notamment en vérifiant l’efficacité des pare-feu, les contrôles d’accès et la sécurité du traitement des données. Une institution financière, par exemple, peut utiliser ces audits pour protéger les données des clients dans ses systèmes bancaires en ligne.
Surveillance continue des anomalies : La surveillance, qui vise à détecter les activités inhabituelles à l’aide d’outils tels que les systèmes de détection d’intrusion, permet de repérer les menaces potentielles, telles que les tentatives d’accès non autorisé ou les transferts de données étranges, qui sont autant d’indices de cyberattaques. Cela peut permettre de prévenir les attaques ou de lancer la récupération en temps réel.
Mise à jour des protocoles de sécurité : Les mises à jour régulières des mesures de sécurité sont essentielles pour se défendre contre les nouvelles menaces. Après avoir identifié un nouveau logiciel malveillant, par exemple, la mise à jour du logiciel antivirus et des correctifs du système est essentielle au maintien d’une sécurité solide.
On ne saurait trop insister sur la nécessité de promouvoir une culture de la sécurité au sein de l’entreprise. L’extension de la responsabilité de la cybersécurité au-delà du département informatique, à tous les employés, implique un effort collectif pour maintenir la cyber-résilience. Ce changement culturel n’est pas seulement bénéfique pour la sécurité pendant le développement des produits numériques, mais il renforce également les efforts de sécurité après le développement. Les organisations qui n’ont pas une culture axée sur la sécurité ne seront pas résilientes.
Une approche combinée est indispensable
Le risque de cyber-attaques augmente de façon exponentielle. S’en tenir à des pratiques réactives en matière de cyber-résilience ne suffit plus. En l’absence de méthodes proactives intégrées au cœur d’un projet numérique, les organisations s’exposent à d’énormes désastres financiers, à la destruction de la réputation de leur marque et à une perte totale de confiance de la part des clients. Des pratiques proactives de cyber-résilience, telles que l’intégration de multiples mesures de sauvegarde dans le codage de base et la création d’une culture de la sécurité, sont essentielles à la survie de tout projet.
Les considérations et les actions proactives, aussi complètes soient-elles, ne peuvent constituer la seule étape. Les stratégies réactives qui vont au-delà du déploiement du produit sont une véritable nécessité. Des audits de sécurité réguliers, une surveillance continue des anomalies et la mise à jour des protocoles de sécurité garantissent l’adaptation et l’évolution de la cyber-résilience. Il est tout à fait clair que les organisations, en particulier celles qui ont un nouveau projet numérique en tête, doivent combiner des stratégies à la fois proactives et réactives. Cette démarche doit être étayée par une culture de la sécurité dans l’ensemble de l’organisation. Si toutes les personnes concernées ne tiennent pas compte de la sécurité et n’en font pas une priorité, l’ensemble du projet est menacé.
