Optimiser sa stratégie de cybersécurité en entreprise

Les PME doivent adopter une cybersécurité équilibrée avec outils, personnel et processus, selon le cadre NIST, pour mieux protéger leurs infrastructures contre les menaces changeantes.

Selon la 9ème édition du baromètre annuel du CESIN, moins d'une entreprise sur deux a subi au moins une cyberattaque réussie ayant eu un impact significatif. Les efforts investis dans la protection et la gestion des risques cyber montrent des résultats prometteurs contre les menaces constantes et évolutives. Plus de la moitié des entreprises prévoient d'augmenter leurs équipes dédiées à la cybersécurité, et la plupart envisagent d'adopter de nouvelles solutions techniques. Cependant, notre étude, réalisée en 2023 auprès de professionnels mondiaux de l'informatique, révèle que 47 % des répondants considèrent que le manque de budget est le principal obstacle à la sécurité des données.

Les petites et moyennes entreprises (PME), qui ont tendance à avoir des budgets alloués à la cybersécurité serrés, n'investissent en effet que dans la protection des « fonctions les plus importantes » de leur organisation. Aussi judicieuse que puisse paraître cette stratégie, les outils ne suffisent pas à protéger leur réseau.

La cybersécurité : une question d'équilibre

Le fait de ne compter que sur un seul élément de sécurité ne permet guère d'assurer une protection effective. Même si les entreprises investissent dans des outils de surveillance, elles ne seront pas en mesure de répondre réellement aux menaces sans un plan de réponse aux incidents efficace et sans l'équipe adéquate pour l'exécuter.

Une stratégie de cybersécurité équilibrée combine outils, personnes et processus pour protéger l'infrastructure sans gros investissement. Par exemple, en révisant annuellement les autorisations de répertoire, les utilisateurs métier réduisent les risques. Cette approche axée sur la sécurité minimale est idéale pour les PME, offrant une base évolutive.

Ainsi, des structures telles que le cadre de sécurité du NIST peuvent contribuer à rationaliser les efforts de sécurité et à créer l'équilibre nécessaire. Le NIST décrit six fonctions essentielles à une approche équilibrée de la cybersécurité : Gouverner, Identifier, Protéger, Détecter, Répondre et Récupérer. Chacune de ces fonctions correspond à des outils et à des processus spécifiques, ce qui aide les organisations à élaborer une stratégie d'investissement équilibrée.

Comprendre le contexte de l'entreprise et le gouverner

Une nouvelle fonction, Govern, a été introduite dans le NIST CSF 2.0 récemment publié. Elle relie la cybersécurité au contexte plus large de l'organisation et de l'entreprise, et permet d'établir puis de contrôler la stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité.

La gouvernance consiste également à déterminer les exigences réglementaires auxquelles l'organisation doit se conformer et les types d'entités avec lesquelles elle interagit. Il peut s'agir d'éléments de sa chaîne d'approvisionnement, d'acteurs connus de la menace, voire d'organisations susceptibles de cibler spécifiquement l'entreprise. La compréhension de ces éléments est cruciale pour une gestion des risques et une formulation de la stratégie efficaces.

Identifier avant d’agir

Dans un premier temps, il est nécessaire d’évaluer les risques afin de prendre des décisions éclairées sur les besoins de l'organisation en matière de sécurité. Dans le cadre du NIST, cela signifie utiliser la fonction d'identification, qui se concentre sur la découverte des données sensibles d'une organisation, la détermination de l'emplacement de ces données et l'identification de toutes les vulnérabilités susceptibles de les compromettre.

L'identification en elle-même n'empêche pas l'entreprise d'être attaquée, mais elle assure la concentration des efforts sur les éléments importants. Sécuriser les données les plus cruciales contre les menaces les plus probables permet d'allouer efficacement les ressources financières.

Protéger et détecter

Ainsi, la fonction de protection soutient la capacité de l'organisation à limiter ou à contenir l'impact d'un incident de sécurité. Elle couvre des catégories telles que la gestion des identités et le contrôle d'accès, la sensibilisation et la formation, la sécurité des données, les processus et procédures de protection de l'information et la technologie de protection. 

Néanmoins, de la même manière que les serrures peuvent être forcées, les attaquants peuvent contourner la fonction de protection. C'est là que les missions de détection entrent en jeu. En effet, ces procédures permettent d'alerter instantanément des événements de cybersécurité par le biais d'une surveillance et d'une détection continues, ce qui permet de réagir plus rapidement aux anomalies.

Réagir et récupérer 

La détection n'a que peu d'intérêt si l’entreprise n’est pas en capacité de répondre à une alerte. La réaction est essentielle pour limiter l'impact d'un potentiel incident de cybersécurité. Toutefois, elle ne fonctionnera que si elle est utilisée en conjonction avec des processus de détection complets. Si ces outils de détection n’identifient pas toutes les actions malveillantes ciblant le réseau, l'organisation subira de graves dommages avant même que les équipes IT n'aient la possibilité de réagir. La fonction de récupération est alors essentielle pour rétablir la continuité des activités, en veillant à ce que les opérations normales reprennent avec un minimum de temps d'arrêt, généralement la conséquence la plus coûteuse d'une attaque.

Parvenir à une stratégie de cybersécurité équilibrée

Il faut du temps pour parvenir à un modèle de cybersécurité équilibré, qui évolue petit à petit, en même temps que l'entreprise elle-même. Le cadre du NIST divise cette évolution en plusieurs niveaux. Au départ, les organisations adoptent souvent une approche informelle et ad hoc. Au fur et à mesure qu'elles prennent conscience des risques, elles développent une stratégie plus définie. Ensuite, à ce que le NIST appelle le « niveau 3 », elles franchissent une étape importante en formalisant les pratiques de gestion des risques et en les adoptant dans leur politique.

Enfin, la dernière étape est celle de l'adaptation. Elle implique une réaction proactive aux avancées technologiques et aux menaces changeantes en cybersécurité. Il s'agit d'une adaptation continue plutôt que de viser la perfection, compte tenu de l'évolution constante des attaques.

Finalement, en privilégiant les outils de sécurité, les entreprises risquent de négliger l'importance des personnes, des processus et de l'hygiène en cybersécurité. Pour investir efficacement, elles devraient d'abord établir des bases solides, des processus complets et aligner leur stratégie sur leur tolérance au risque globale.