Les cyberincidents soulignent l’absence de véritables normes de cybersécurité du secteur privé | Michael Volkov

Parfois, il faut un événement public pour rappeler aux gestionnaires de risques d’entreprise l’importance d’une gestion efficace des risques. Alors que les fonctions de gestion des risques d’entreprise sont devenues un autre sujet « chaud » ou une nouvelle réponse aux défaillances d’entreprise pour prévenir les risques évidents, la plupart des organisations continuent d’errer dans le monde de la planification commerciale réactive plutôt que de la prévention proactive. Il est assez évident depuis des années que la plupart des entreprises n’affectent pas suffisamment de ressources, d’expertise et d’engagement à la mise en œuvre de programmes efficaces de gestion des risques. De plus, les entreprises prétendent avoir développé des protocoles de « gestion de crise » pour les faire ignorer ou vaciller lorsque cela est nécessaire pour répondre à une crise. COVID-19 a révélé les faiblesses de la planification, de l’analyse et de la gestion des risques du gouvernement et du secteur privé. L’attaque de ransomware sur Colonial Pipeline (et la cyberattaque subséquente sur JBS) a démontré une fois de plus l’échec du gouvernement et des entreprises à anticiper les problèmes de cybersécurité à l’aide d’outils traditionnels – analyse des risques et de la vulnérabilité, mise en œuvre de la technologie et planification pour minimiser un événement cybernétique et crise protocole de réponse. À la suite de cette débâcle, le public a fait la queue pour acheter des gallons d’essence en raison d’une pénurie à court terme d’essence. Ces scènes de panique ont rappelé l’impact qu’une mauvaise gestion des risques d’un gouvernement et d’une entreprise peut avoir sur la réaction du public. L’administration Biden a publié une réponse rapidement pour mettre à jour les pratiques de cybersécurité du gouvernement. Les agences fédérales ont été invitées à prendre diverses mesures pour partager des informations, renforcer les pratiques de cybersécurité et utiliser les nouvelles technologies pour réduire les cyber-vulnérabilités. Tout cela est bel et bien mais tant que le secteur privé ne sera pas soumis à diverses exigences relatives à la cybersécurité, peu de choses vont changer. Le Congrès a trébuché pendant des années lorsqu’il s’agissait d’imposer tout type d’exigences significatives aux pratiques de cybersécurité des entreprises. Par exemple, il n’y a toujours pas d’exigence fédérale de divulgation des entreprises pour informer les forces de l’ordre et le public après qu’une entreprise a subi une cyberattaque ou un cyberincident. De même, il n’y a pas de normes spécifiques définies pour un secteur industriel que les entreprises doivent respecter pour se protéger contre les cyberattaques. Au lieu de cela, les entreprises sont confrontées à une mosaïque d’exigences étatiques relatives à la sécurité des données, à la divulgation et aux exigences de correction. Un cyberincident est généralement suivi d’un recours collectif privé sans « dents » significatives qui se dissipe dans un autre coût pour faire des affaires – le coût de la prévention ne l’emporte jamais sur le préjudice économique et les dommages à la réputation, ou du moins c’est ainsi que les chefs d’entreprise sortent généralement lors de la réalisation d’une analyse coûts-avantages. Certains ont suggéré que le dernier décret exécutif sur la cybersécurité était la première étape de la nouvelle administration imposant de réelles exigences au secteur privé. Je le croirai quand je le verrai. Les intérêts des entreprises ont pu bloquer de tels efforts dans le passé et rien n’indique qu’ils ne le feront pas à l’avenir. En réponse à l’incident du Colonial Pipeline, divers sénateurs se sont plaints d’une nouvelle législation. Gros problème – cela s’est produit auparavant, franchement depuis des décennies. En fin de compte, le gouvernement fédéral se repliera sur « donner l’exemple » et il n’y aura aucun changement substantiel dans le rendement. S’il y avait d’une manière ou d’une autre un changement magique dans les priorités et la planification de l’entreprise, le secteur privé adopterait rapidement une réponse et une planification de grande envergure pour prévenir un incident de cybersécurité. Les entreprises procéderaient à de solides évaluations des risques et de la vulnérabilité pour identifier les faiblesses entourant les données commerciales confidentielles et les informations personnellement identifiables, car les cyberattaques se concentrent généralement sur ces informations pour extorquer des paiements de rançon. Les cyber-attaquants accèdent à ces informations sensibles, puis menacent l’entreprise victime d’une utilisation illégale des informations pour nuire à l’organisation. En réponse, les organisations doivent effectuer une évaluation des vulnérabilités, puis concevoir des plans de traitement et de stockage pour minimiser le risque d’intrusion et d’accès à ces informations. Dans la plupart des cas, les entreprises peuvent s’appuyer sur le cryptage et d’autres stratégies pour empêcher une violation grave. Un programme complet de cartographie des données est une étape essentielle de ce processus. En examinant ses ensembles de données à travers l’organisation, les entreprises se rendent rapidement compte que certaines données ne sont plus nécessaires pour l’entreprise. Il en résulte une compréhension efficace du profil de données de l’entreprise. Une partie essentielle de ce processus exige des entreprises qu’elles évaluent leurs propres exigences internes en matière de conformité informatique. Certains de ces contrôles d’accès sont importants pour préserver les preuves, renforcer les vulnérabilités d’intrusion et améliorer la sécurité du réseau et de la messagerie. Les entreprises devraient également mettre en œuvre des améliorations informatiques pour améliorer les fonctions de journalisation et de surveillance qui peuvent être essentielles pour générer des informations réseau précises nécessaires pour répondre à une cyberattaque. De nombreuses entreprises migrent vers des systèmes de stockage en nuage et réduisent ainsi les vulnérabilités des logiciels et des systèmes de données sur site. Même dans un environnement basé sur le cloud, les entreprises ont subi de graves cyberattaques et une planification est nécessaire dans ces environnements pour atténuer les vulnérabilités et les risques. Une entreprise peut utiliser son évaluation des cyber-risques et de la vulnérabilité pour planifier une réponse à une cyberattaque. Ces plans incluent souvent l’embauche d’un cyber-expert tiers pour répondre à un événement de cyber-rançon ou à une cyber-intrusion. Le plan de réponse à la crise doit inclure le respect des exigences légales et la conservation des preuves, ainsi que les informations publiques nécessaires pour atténuer toute attaque. Pour mettre en œuvre le plan, les entreprises doivent identifier à l’avance un échantillon représentatif de représentants de l’entreprise, y compris les technologies de l’information, les ressources humaines, les services juridiques et de conformité, les relations publiques/communications et la haute direction.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *