Accueil Risques cyber et de gouvernance, des solutions pour faire face

Risques cyber et de gouvernance, des solutions pour faire face

Sécurité informatique, protection des données, conformité… les entreprises et organisations de toute taille font face aujourd’hui à des risques multiples. Face aux enjeux de taille qu’ils représentent, de nouveaux services et solutions se profilent pour les aider à mieux les gérer.

 

Cyberattaques : les entreprises connaissent un niveau de risque inédit depuis 2020. Les évolutions technologiques, BYOD, IOT et migration massive vers le Cloud ont augmenté radicalement la surface d’exposition et favorisé le contexte cyber actuel. Evaluer, auditer, remédier…. aujourd’hui il apparaît comme indispensable pour une entreprise de faire le point sur sa cybersécurité face aux conséquences importantes qu’elle encourt via une intrusion malveillante, quelle que soit sa forme, dans son SI : arrêt de la production, impossibilité pour les collaborateurs d’utiliser leurs logiciels métiers, communication rompue avec les fournisseurs et/ou partenaires, image de marque dégradée, etc.

Les risques cyber

Une enquête mondiale de l’éditeur spécialiste en cybersécurité Trend Micro estime que plus de la moitié des entreprises (54 %) ne réalisent pas d’évaluations suffisamment poussées pour se prémunir des risques cyber. Elle met notamment en lumière la complexité pour elles de cartographier correctement le périmètre à risque et la difficulté à mettre en place le bon niveau de sécurité, Près d’un tiers des responsables et décideurs IT reconnaissent que l’évaluation des risques est le principal domaine de la gestion de la surface d’attaque avec lequel ils ont le plus de difficultés. Une grande majorité (plus de 80 %) se sent davantage exposée/vulnérable aux ransomwares, aux attaques par hameçonnage ou et aux attaques via l’Internet des objets (IoT).

De nombreuses organisations doivent se contenter d’approches manuelles pour cartographier leur surface d’attaque (28 %), et plus d’un tiers signale des difficultés à travailler avec des environnements technologiques multiples (32 %). De telles approches peuvent expliquer pourquoi seules près de 40 % d’entre elles sont en mesure de détailler précisément l’un des éléments suivants à partir de leur évaluation des risques :
– les niveaux de risque pour les actifs individuels ;
– la fréquence des tentatives d’intrusion ;
– les modalités des tentatives d’attaque ;
– l’impact d’une violation sur un point précis de leur domaine IT ;
– les points de référence du marché en matière de pratiques de sécurité ;
– les plans d’action préventifs à mettre en œuvre pour des vulnérabilités spécifiques.

Nicolas Arpagian,
Trend Micro

« Nous savions déjà que les organisations étaient préoccupées par l’expansion rapide de la surface d’attaque et de leur peu de visibilité sur leur situation en la matière. Cette étude internationale confirme qu’elles ont également besoin d’une aide urgente pour découvrir et gérer les risques liés à la cybersécurité générale », explique Nicolas Arpagian, Director Cybersecurity Strategy chez Trend Micro.

Faire l’inventaire de ses vulnérabilités

L’incapacité des organisations à évaluer avec précision le risque lié à la surface d’attaque, qui ne cesse d’évoluer, maintient également les chefs d’entreprise dans une trop grande ignorance – or ce sont eux qui doivent être les “sponsors” pour protéger leur entreprise, ainsi que leurs partenaires et/ou fournisseurs. Ce que confirme Grégory Roy, directeur Grands Comptes et Partenariats chez Verlingue, un courtier en assurance spécialisé dans la protection des entreprises : « Le risque cyber n’est plus seulement un sujet à destination des directeurs des systèmes d’information (DSI), c’est devenu un vrai sujet de gouvernance d’entreprise ».
L’expertise de tiers de confiance se révèle alors intéressante. Elle alertera sur les risques, établira une stratégie de cyberdéfense, jusqu’à la cyberassurance, sensibilisera les collaborateurs.
CyberVadis, par exemple, est un prestataire spécialisé dans la notation de la posture de cybersécurité des parties tierces. « Les fournisseurs sont ensevelis sous les questionnaires et la personne qui doit répondre n’a pas toujours toutes les compétences sur l’ensemble des points abordés », explique François Samarcq, Vice-President Sales de Cybervadis. Sa plateforme est basée sur une méthodologie qui correspond à toutes les principales normes de conformité internationales et combine la vitesse de l’automatisation avec la précision et l’efficacité d’une équipe d’experts. Cela comprend l’engagement direct des fournisseurs avec les évaluations, la validation des résultats avec une équipe interne d’analystes de la sécurité et l’émission aux entreprises d’une évaluation de cybersécurité standardisée qu’elles peuvent partager avec d’autres, ainsi qu’un plan d’amélioration détaillé pour augmenter leur score et la capacité de collaborer avec les clients et les fournisseurs sur la mise en œuvre de meilleures pratiques.

Eric Melki,
Infoclip

Autre exemple : s’adressant aux PME et ETI (entre 50 et 500 utilisateurs), Infoclip, une ESN parisienne d’une cinquantaine de collaborateurs, spécialiste de la gestion, du cloud, de l’infogérance et de la sécurité, leur propose un accompagnement global, une offre de gouvernance cyber à 360 ° (“Cyber Excellence”) avec notamment un dispositif d’évaluation (“Score CyberResistance”) qui mesure leur progression en cyber. Un indice de confiance que les dirigeants et leurs collaborateurs vont s’efforcer de maintenir ou d’améliorer, et qui va les accompagner dans leur relation avec leurs clients et écosystèmes, ainsi que dans les négociations avec les compagnies d’assurance. Eric Melki, l’un des deux fondateurs et directeur associé d’Infoclip, explique : « Nous sommes partis du constat que les PME et ETI sont très démunies, très insuffisamment préparées aux niveaux RH, méthodologie, moyens techniques. Et elles font face à des cyberattaquants qui, eux, sont infiniment plus organisés ». Hors des méthodes et cadres totalement hors de portée des PME et ETI, à la fois en termes financiers, de temps et de ressources, l’ESN propose aux dirigeants (directeur financier, DG, DSI ou RSSI) une visibilité totale sur l’exposition aux risques cyber ainsi qu’un plan d’amélioration. Elle va jusqu’à la cyberassurance via des partenaires courtiers.
L’entité spécialisée de Micropole, Go Cloud & Security, propose un diagnostic cyber complet. Sur mesure, l’offre évalue et améliore la sécurité du SI. Au programme : des tests, des audits, des campagnes de phsihing… pour, in fine, obtenir un plan d’action de remédiation priorisé. L’offre est au forfait et s’adapte au contexte de l’entreprise.

> L’offre CyberExcellence d’Infoclip et les services activables à la demande

Tanium, qui propose des solutions de converged endpoint management (XEM), a annoncé en juin le lancement d’un agent gratuit d’évaluation des risques cyber. La solution fournit un score de risque ainsi qu’un plan de remédiation pour que les DSI et RSSI puissent communiquer plus facilement avec leurs dirigeants et conseils d’administration et agir en conséquence. L’outil offre une vision globale et quantitative des risques en fonction d’une grande variété de facteurs.

> L’outil de gestion des risques proposé par Tanium synthétise toutes les sources d’exposition aux risques en un score compréhensible : il génère automatiquement des rapports complets et des plans de remédiation.

L’évaluation, cruciale  pour la cyberassurance

Il apparaît comme évident que l’évaluation du niveau de sécurité informatique des entreprises et de leurs partenaires va devenir cruciale, notamment dans la souscription de produits d’assurance cyber.

Matthieu Jouzel,
BeyondTrust

« Les cyberattaques de tous types sont un problème de plus en plus présent pour toutes les entreprises. Beaucoup se tournent vers la cyberassurance comme moyen de protection contre les effets de ces incidents. Cependant les procédures de souscription sont compliquées et les questionnaires de sécurité couvrant les pratiques internes sont de plus en plus strictes, confirme Matthieu Jouzel, Solutions Engineer chez BeyondTrust. Aujourd’hui, un cyberassureur ne prendra pas le risque de couvrir une entreprise qui n’aurait pas mis en place des mesures robustes de protection contre les cybermenaces ».
« Le risque cyber est désormais l’une des principales préoccupations des entreprises. La notation cyber devient logiquement aussi importante que la notation financière pour les organisations », soutient aussi Christophe Aulnette, le chairman de Board of Cyber, spin-off d’Almond (groupe Hifield), nommé en avril dernier. Acteur de la gestion du risque cyber, sa plateforme SaaS Security Rating, « automatisée, rapide et non-intrusive », répond aux besoins des entreprises et des organisations d’évaluer et d’améliorer en continu leur performance cyber.

Christophe Aulnette,
Board of Cyber

Board of Cyber compte plus de 20 salariés dont les trois-quarts sont des développeurs. Security Rating a été développé il y a 3 ans pour répondre à un besoin de l’assureur Hiscox qui cherchait un moyen d’évaluer les entreprises intéressées par ses assurances cyber. La startup indique avoir dépassé la barre des 100 clients, et évalué 20 000 organisations par la plate-forme. Outre évaluer le risque, la plateforme préconise également les bonnes pratiques et des recommandations afin d’améliorer la performance cyber de chaque organisation.

L’augmentation sans précédent des incidents cyber a entraîné une envolée du coût du risque. Avec peu d’entreprises assurées, il n’y a pas d’effet de mutualisation du risque (lire notre dossier consacré au sujet). C’est pourquoi les assureurs imposent désormais de maîtriser le risque en amont de la souscription et de la mise en place des garanties d’assurances.
La startup Française Stoïk, nouvel entrant sur le marché de l’assurance cyber, propose seule aux TPE/PME à la fois une couverture d’assurance et un logiciel de sécurité pour les protéger contre les cyberattaques – c’est l’une de ses originalités. En complément, elle vient de lancer un outil gratuit pour les aider à lutter contre le phishing. La solution de sensibilisation au phishing proposée vise à réduire le facteur de risque humain par une action préventive de sensibilisation en continu. Elle a l’avantage d’être gratuite pour les assurés Stoïk, étant comprise dans l’abonnement.
Elle permet de choisir une simulation sur l’une des 3 plateformes disponibles : Google (par défaut), Github et Notion, sachant que de nouveaux modèles seront ajoutés par la suite pour diversifier les campagnes. L’entreprise sélectionne les collaborateurs qui recevront chaque type de simulation. A titre d’exemple, un développeur qui utilise Github recevra un faux mail de la part de Github, afin que sa vigilance soit mise à l’épreuve. L’entreprise programme la temporalité (1 mail par mois par exemple) et génère un rapport complet via l’application pour analyser les résultats. En cas d’hameçonnage, les collaborateurs sont redirigés vers un mini-espace de formation aux bonnes pratiques contre le phishing. La synchronisation de l’outil se fait pour des comptes rattachés à Google, et bientôt pour Microsoft.

Au-delà de la cybersécurité

Les enjeux pour les entreprises vont au-delà de la pure cybersécurité, et portent de plus en plus sur l’ensemble des risques. On parle ainsi souvent de GRC pour Gouvernance, (gestion du) Risque et Conformité, mais pas que. De nouvelles solutions, plateformes, services voient ainsi le jour.
L’éditeur One Trust propose une plateforme de gestion des données, qui permet notamment de rester conforme au RGPD. Un de ses modules permet d’établir un tableau de bord, partageable avec tous les services de l’entreprise, qui permet une surveillance et une automatisation des processus. « L’outil s’intègre grâce à des connecteurs sur les solutions tierces comme Service Now par exemple. Il permet d’avoir une vue globale et d’éditer des reportings sur tous les projets du SI. Il permet de montrer qu’on est conforme à l’ISO 27001. Il vise à remplacer le tableau Excel, dont une majorité de décideurs se servent encore. », explique Guillaume Ginguené, Senior Solutions Engineer, sur les Sujets de GRC (Gouvernance, Risks & Compliance) et de données.
Le courtier Verlingue s’est associé à un Inquest, du groupe Stelliant, cabinet conseil en gestion des risques. Les deux sociétés viennent de développer une gamme complète de solutions permettant d’apporter une réponse globale pour toutes les tailles d’entreprises avec une approche “Risk Management” globale, gestion des risques, sécurité informatique, impacts sur les opérations, enjeux juridiques et financiers, qui est parfois difficile à mettre en place dans les entreprises. En effet, le niveau de préparation aux attaques et le dispositif interne de réponse à incident (incluant le volet continuité des activités) souvent très précaires, ainsi que l’appropriation des méthodes d’évaluation des conséquences financières de ce type d’attaque supposent l’intervention d’experts dans chacun de ces domaines, selon Verlingue.

A travers ce partenariat, il propose aux entreprises des solutions de prévention et de conseil qui s’inscrivent dans un processus itératif permettant aux dirigeants d’entreprises de toutes tailles et de tous secteurs, de comprendre les menaces auxquelles l’entreprise doit faire face pour s’y préparer ; de définir une politique et des mesures de prévention du risque ; de documenter la démarche d’évaluation de leur risque cyber et faciliter la recherche d’une solution d’assurance ; de permettre à l’entreprise de choisir et de payer le bon niveau d’assurance (garanties, franchises, primes, exclusions) ; d’identifier le risque résiduel et mettre en place des moyens de diminution de ce risque, grâce à des services et conseils à forte valeur ajoutée. « Comme nous le faisons pour les risques traditionnels tels que l’incendie, l’appréciation du risque et la prévention en matière de cyber deviennent une condition sine qua non d’éligibilité à l’assurance. », explique Frédéric Chaplain, directeur IARD chez Verlingue.

Le Risk Management

A cela, Alexis Nardone, directeur général d’Inquest, ajoute : « Notre enjeu prioritaire est d’aider les chefs d’entreprise à appréhender le sujet sous l’angle “risk management” avec efficacité et pragmatisme. Cette démarche nous permet de leur montrer comment améliorer l’architecture de leur système d’informations afin d’envisager avec eux une solution d’assurances adéquate ».
Leur offre Cyber-Résilience s’articule autour de 5 étapes clés : audit, analyse, évaluation de la menace, impacts financiers selon les scénarios de menaces et préconisations.
Le cabinet de conseil et d’audit PwC France et Maghreb a, lui, récemment mis en place sa solution Digital Store, une plateforme digitale créée pour aider les entreprises à relever les défis de la transformation numérique. Elle permet aux organisations françaises de bénéficier d’outils de premier plan, parmi lesquels on trouve des outils de cybersécurité, de gestion des risques, de compliance mais aussi d’ESG (Environnement, Social et Gouvernance) et de procurement.

> La plateforme Trust Intelligence de OneTrust agit dans les
domaines de la protection des données, du risque, de l’éthique et de l’ESG.

La plateforme Trust Intelligence de OneTrust, lancée en juin dernier, est la première d’une nouvelle catégorie de logiciels qui unifie les programmes de la protection et de la gouvernance des données, de GRC (Gouvernance, Risque, Conformité) et d’assurance de la sécurité, d’éthique et de conformité, d’ESG (Environnement, Social, Gouvernance) et de RSE (responsabilité sociétale des entreprises). Cette plateforme offre une visibilité et des actions basées sur l’IA, l’intelligence réglementaire et l’automatisation.
Il y a fort à parier que ce type de solution, centralisant l’ensemble des risques au sens large, se multiplie.

 


Avis d’expert

Pierre Ogier, VP et fondateur d’Egerie Software

Une plateforme de gestion des identités permet également de piloter les risques
« La solution permet de mettre en œuvre un langage unique commun, autour du risque, qui permet de communiquer sur le sujet au sein de l’entreprise ». Une fonctionnalité récente permet d’afficher un tableau de bord des risques.