Site icon CIO PRACTICE

La cybersécurité n’est pas un coût, c’est un investissement

Guido G. Calabro

Si vous avez des questions sur une évaluation de sécurité ou si vous avez besoin de consultants en sécurité pour examiner votre architecture, nous pouvons vous aider

La cyber c’est cher… surtout si elle n’est pas efficace

La plupart des organisations considèrent la cybersécurité comme une dépense lorsqu’elles entament leur transformation numérique. Mais la transformation numérique, sans sécurité renforcée est une arme à double tranchant. L’adoption de nouvelles applications et technologies cloud augmente les points d’attaque, ce qui implique d’augmenter les défenses face aux menaces grandissantes.

Une posture de sécurité faible peut se transformer en une affaire très coûteuse en cas d’attaque. Les organisations dotées d’une sécurité forte peuvent économiser des sommes importantes sur la récupération de données, la perte de confiance des clients, la réputation, la reprise après sinistre. Dans le pire des cas, les entreprises payent la rançon… Le coût moyen d’une violation de données en 2022 s’élevait à 4,35 millions de dollars.  Cet argent serait-il dépensé si l’organisation avait déployé une cyberdéfense efficace ? Le même rapport d’IBM indique que les solutions de sécurité avancées permettent d’économiser en moyenne 3,05 millions de dollars.

Ce chiffre souligne le fait que la cybersécurité doit être considérée comme un investissement stratégique et durable. Plus conforme au proverbe, mieux vaut prévenir que guérir.

Coûts des incidents vs coûts des investissements

Il est souvent difficile pour les entreprises de comparer le coût des cyberincidents aux coûts d’investissement d’une solution de cybersécurité, surtout si « aucun » incident ne s’est produit. Ainsi, certains dirigeants peuvent faire glisser ce sujet vers le ROI ou même faire une analogie avec l’assurance – où il est difficile de tirer des conclusions sur les « retours » sur la solution ou le produit. Ce qu’ils doivent comprendre, c’est que les conséquences d’une cyberattaque peuvent être financièrement dévastatrices (comme nous pouvons le voir dans les statistiques ci-dessus).

Les attaques pourraient également entraîner des litiges juridiques et une perte de réputation.  En 2019, Delta Airlines a poursuivi son fournisseur de chatbot pour avoir causé une violation de données. La plate-forme de chatbot avec des politiques de sécurité de mot de passe faibles a permis aux pirates d’accéder facilement aux données de carte de paiement de plus de 825 000 passagers Delta. Delta sans surprise a poursuivi le fournisseur pour négligence.

Une perspective différente : la cybersécurité comme catalyseur

La cybersécurité ne doit pas être considérée comme un coût. Voyons comment aujourd’hui, les clients utilisent des applications ou des systèmes uniquement lorsqu’ils sont confiants et se sentent en sécurité, quelle que soit la qualité de l’application. Par conséquent, toute innovation nécessite une stratégie de sécurité intégrée.

La cybersécurité devrait être l’épine dorsale des initiatives numériques. Les entreprises qui investissent dans la sécurité pour protéger leurs initiatives de transformation numérique ont un avantage concurrentiel. Apple utilise les politiques de sécurité et de confidentialité comme l’une de ses fonctionnalités vedettes – cela les distingue des concurrents car ils remportent plus facilement la confiance des clients.

Comment savoir si votre posture de sécurité est solide et résiliente ?

Pour que les organisations puissent déterminer si leur posture de sécurité est suffisamment forte, elles doivent évaluer les niveaux de sécurité actuels et identifier les lacunes existantes. Le paysage des menaces évolue rapidement avec de nouveaux vecteurs d’attaque en croissance sur le marché : ransomware, logiciels malveillants… Pour vous donner une idée, environ 560 000 logiciels malveillants ont été découverts en une seule journée. De plus, les moyens de lancer une attaque sont de plus en plus sophistiqués.

Les organisations disposant de petites équipes de sécurité internes et d’outils limités auront du mal à faire face à l’augmentation des cyberrisques et peuvent donc être incapables d’évaluer leur propre niveau de sécurité. Ils ont souvent besoin de consultants en sécurité pour effectuer des évaluations de sécurité.

Qu’est-ce qu’un security assessment ?

Les évaluations de sécurité (ou security assessments) se basent sur de nombreux processus : analyse du réseau, tests de pénétration (pentests), étude des vulnérabilités, modélisation des menaces, évaluation de la sécurité du cloud, analyse des technologies opérationnelles (OT), et bien d’autres.

Différentes évaluations servent différents objectifs. Par exemple, une étude des vulnérabilités vérifiera les failles dans vos paramètres, votre configuration etc. Alors que les pentests sont des attaques contrôlées sur votre système pour vérifier la réponse défensive et identifier des lacunes.

L’objectif principal de toute évaluation est d’identifier les vulnérabilités du système et, en outre, de vous fournir un rapport détaillé et d’autres recommandations à ce sujet. Idéalement, le rapport devrait également offrir une analyse approfondie et les mesures que les organisations doivent prendre pour renforcer leur posture de sécurité et atténuer les risques.

L’évaluation est la première étape vers la maturité en matière de sécurité. Chaque entreprise doit s’efforcer de réduire son exposition aux menaces, d’éviter les violations de données et de respecter les normes de conformité définies par les régulateurs (que ce soit l’ANSSI ou la CNIL). Des politiques de sécurité solides garantissent la conformité des données, ce qui renforce la confiance des clients.

Pourquoi faire un audit de sécurité (security assessment) ?

Les évaluations de sécurité vous aident à identifier :

  1. Le risque pour ses systèmes et ses activités
  2. Fonctionnement des solutions de sécurité actuelles
  3. Les lacunes de l’architecture de sécurité actuelle
  4. Comment réduire ces écarts
  5. Comment faire un investissement en sécurité
  6. Méthodes de mesure des performances de sécurité
  7. Feuille de route vers des niveaux plus élevés de maturité et de sécurité

Etapes clés d’un audit de sécurité :

  1. Engagement initial : établissement de l’ordre du jour
  2. Revue d’architecture : entretiens et atelier avec les parties prenantes (architectes, équipe opérationnelle, C-level, GRC team, RSSI)
  3. Évaluation : mener une enquête et une évaluation
  4. Analyse
  5. Publication : le rapport est publié avec les résultats
  6. Livraison : recommandations personnalisées et feuille de route basée des résultats

Des partenaires IT, comme T-Systems, peuvent vous aider à évaluer votre architecture informatique actuelle, votre architecture OT, votre architecture SASE, votre cloud, votre réseau, votre mise en œuvre ZTNA, etc. Ainsi, ils vous aident à choisir la bonne solution de cybersécurité qui correspond aux besoins de votre entreprise. Obtenez une feuille de route pour améliorer vos niveaux de maturité en matière de sécurité. De cette façon, vous ne protégez pas seulement les données et les applications. Vous obtenez également un avantage stratégique en matière de sécurité pour une transformation numérique sécurisée.

Quitter la version mobile