Connecté en tant que :
filler@godaddy.com
La protection des actifs immatériels est vitale
Toutes les données et tous les systèmes ne sont pas égaux
Dans une entreprise digitalisée, certaines données, certains systèmes et certaines applications sont plus critiques que d'autres. Certains sont plus exposés aux risques, et d'autres sont plus susceptibles d'être ciblés. Les actifs critiques et les niveaux de sensibilité varient également beaucoup d'un secteur à l'autre.
Dans un monde de plus en plus numérisé, il n'est pas possible de tout protéger de manière égale. Or, le modèle économique numérique est entièrement dépendant de la confiance. Si l'interface client n'est pas sécurisée, le risque peut devenir existentiel.
Les violations de systèmes, à grand ou petite échelle, ont plus que doublé au cours des cinq dernières années, et les attaques ont gagné en sophistication et en complexité. La plupart des grandes entreprises reconnaissent désormais la gravité du problème, mais continuent de le traiter comme un problème technique et de contrôle, tout en admettant que leurs défenses ne pourront probablement pas suivre le rythme des attaques futures.
En outre, ces défenses sont souvent conçues pour protéger le périmètre des opérations commerciales et sont appliquées de manière décousue dans les différentes parties de l'organisation.
Les recherches et les expériences collectives acquise suggèrent que la prochaine vague d'innovation - applications client, processus métier, structures technologiques et défenses de cybersécurité - doit reposer sur une approche commerciale et technique qui donne la priorité à la protection des actifs informationnels critiques.
Nous appelons cette approche "résilience numérique", une stratégie interfonctionnelle qui à pour but :
- d'identifier et d'évaluer toutes les vulnérabilités
- de définir des objectifs à l'échelle de l'entreprise
- de déterminer la meilleure façon de les atteindre.
L'une des principales dimensions de la résilience numérique est l'identification et la protection des joyaux de la couronne numérique de l'organisation, à savoir les données, les systèmes et les applications logicielles essentiels aux opérations.
En déterminant les actifs prioritaires à protéger, les organisations seront confrontées à des défis externes et internes.
Les entreprises, les groupes informatiques et les fonctions de risque ont souvent des programmes contradictoires et des relations de travail peu claires.
En conséquence, de nombreuses organisations tentent d'appliquer les mêmes contrôles de cyber-risque partout et de la même manière, ce qui leur fait souvent perdre du temps et de l'argent, sans en dépenser suffisamment dans certains cas.
D'autres appliquent des protections sectorielles qui laissent certains actifs informationnels vitaux vulnérables tout en se concentrant trop sur les actifs moins critiques.
Les budgets de cybersécurité, quant à eux, sont en concurrence pour des fonds limités avec les investissements technologiques destinés à rendre l'organisation plus compétitive. Les nouveaux investissements technologiques peuvent, en outre, apporter des vulnérabilités supplémentaires.
A quoi reconnait-on une entreprise cyber résiliente
Comment apprendre identifier et protéger a l'actif immatériel
L'analyse comparative de la découvrabilité, la compréhension de votre temps de remédiation et la rétention des talents sont autant d'indicateurs de la qualité d'une stratégie.
Les cyberattaques sont inévitables, mais il y a des choses que vous pouvez vérifier pour déterminer dans quelle mesure votre défense peut résister aux menaces sophistiquées d'aujourd'hui avant d'avoir un impact sur votre marque, la confiance de vos clients et vos résultats.
Premièrement, même si tous les outils sont en place pour gérer les incidents de sécurité, l'un des meilleurs signaux dont vous disposez est votre personnel. Parlez à vos équipes pour savoir ce qu'elles pensent de leur stratégie et de leur état de préparation général, afin de vous assurer qu'elles sont équipées des protocoles et des ressources adéquats. En réalité, de nombreuses organisations ne sont pas particulièrement confiantes : Nous avons constaté que 94 % des professionnels de l'informatique admettent la nécessité d'améliorer la cyberpréparation globale de leur organisation. Une enquête régulière auprès de vos équipes de développement et de TI vous aidera à comprendre dans quelle mesure elles se sentent prêtes et où elles voient des lacunes que vous devez gérer.
Deuxièmement, lorsqu'un incident est détecté, vous devez agir rapidement et collaborer étroitement avec votre équipe de sécurité pour prendre des mesures, mais aussi prêter attention à la durée du processus du début à la fin. Le temps de réponse moyen de la plupart des organisations pour passer de la découverte d'un incident à la remédiation est de 19 heures - beaucoup de choses peuvent se produire dans cette fenêtre, et votre équipe de sécurité doit être en mesure de mesurer l'impact pour informer les actions futures. À partir de là, vous pouvez élaborer une approche plus stricte de la découverte à la correction : La réduction de ce temps de réponse est un indicateur de vos progrès.
Enfin, il est important de veiller à ce que votre stratégie donne la priorité à la gestion des cyber-risques plutôt qu'à la simple conformité. Si les organisations se concentrent uniquement sur les exigences de conformité, elles ont le sentiment erroné de faire ce qu'il faut pour répondre à ces exigences minimales, au lieu de s'efforcer de comprendre les risques et de développer et mettre en œuvre les solutions requises. Les conseils d'administration et les dirigeants d'entreprise doivent s'assurer qu'une approche solide est en place pour que les organisations puissent investir dans les talents et les outils nécessaires pour faire face aux menaces les plus pressantes.
Créer de la valeur en sécurisant votre entreprise
L'approche "business-back doit être mené par une équipe de cybersécurité.
Les principales tâches de l'équipe consistent à
- Déterminer quels sont les actifs informationnels à protéger en priorité, quelle est la probabilité qu'ils soient attaqués et comment les protéger.
- Identifier et cartographier les actifs numériques, notamment les données, les systèmes et les applications, dans toute la chaîne de valeur de l'entreprise. Cette étape peut être accélérée en appliquant une chaîne de valeur sectorielle généralisée et une taxonomie commune pour les actifs informationnels, puis en les adaptant à l'organisation.
- Évaluer les risques pour chaque actif, en utilisant des enquêtes et des ateliers de direction. En basant cette analyse sur l'importance commerciale de l'actif, l'organisation aura identifié ses joyaux de la couronne.
Crise cyber : Quel impact sur la valorisation
En synthèse, ce qu’il faut retenir en 10 points clés*
- Le risque cyber est stratégique et vital pour l’entreprise. La crise du covid-19 a révélé et amplifié l’accélération de la menace.
- Le choc économique est généralement observé pour les entreprises cotées au vue de l’évolution de leurs cours de bourse.
- Pour les entreprises non cotées, ce choc peut être évalué à l’aide de données clés telles que le score de défaillance et l’indicateur des jours de retard de paiement. (Source : Altares - Dun & Bradstreet)
- L’analyse de ces données pour un premier échantillon d’entreprises internationales non cotées montre que le risque de défaillance augmente en moyenne de 40 % à 50 % dans les trois mois après l’annonce d’un évènement cyber.
- Sur l’échantillon des seules entreprises françaises, le risque de défaillance augmente en moyenne de 80 % sur la même période, chiffre étayé par une augmentation de 55 % du nombre de jours de retard 6 mois après.
- Une première estimation de la dégradation de la valeur patrimoniale consécutive à cette augmentation du risque de défaillance ressort de l’ordre de 8 à 10 % de la valorisation de l’entreprise.
- Une première estimation de la dégradation de la valeur patrimoniale consécutive à cette augmentation du risque de défaillance ressort de l’ordre de 8 à 10 % de la valorisation de l’entreprise.
- Ces premiers tests sur un échantillon limité renforcent l’hypothèse déjà émergente de l‘impact significatif des évènements cyber sur la stabilité économique et la valorisation de l’entreprise non cotée.
- Parce qu’il touche directement à la réputation, l’actif immatériel le plus précieux, ce risque doit faire l’objet d’un processus de gestion et de communication approprié.
- Face à ce risque systémique, la cyber-résilience organisée et démontrée deviendra un atout concurrentiel créateur de valeur pour l’entreprise au sein de son écosystème.
*Étude Bessé #Novembre 2020