Notre siècle s’avère être celui de la cyber-insécurité, mais peu d’organisations ont fait des progrès suffisants dans la protection des actifs informationnels.
Les courbes en S de la cybersécurité : vers la résilience numérique
Les entreprises adoptent une approche de la cybersécurité fondée sur le risque. Cette approche reconnaît que tous les actifs ne sont pas créés égaux et qu’ils ne peuvent pas être protégés de la même manière dans l’environnement numérique global d’aujourd’hui. Certains actifs sont extraordinaires – d’une importance capitale pour une entreprise et ses activités. Le modèle commercial numérique est, en fait, entièrement dépendant de la confiance. Si l’interface client d’une entreprise n’est pas sécurisée, le risque peut devenir existentiel. La protection de ces actifs est au cœur d’une stratégie efficace de protection contre les cybermenaces.
Les sept domaines d’action de la résilience numérique
Les entreprises ne peuvent accéder à cette position avancée que si elles ont déjà mis en place les capacités sous-jacentes nécessaires pour assurer la stabilité numérique et la confiance des clients. En outre, à mesure qu’elles développent et améliorent ces capacités, leur objectif directeur devient la réduction démontrable et quantifiable du risque d’entreprise. Ces capacités peuvent être regroupées en sept domaines d’action.
L’enquête McKinsey sur les niveaux de maturité en matière de cybersécurité
En 2021, McKinsey a évalué le niveau de maturité en matière de cybersécurité de plus de 100 entreprises et institutions dans un certain nombre de secteurs industriels. Les résultats ont révélé que si certaines entreprises des secteurs de la banque et de la santé ont réalisé des progrès notables, la plupart des organisations, tous secteurs confondus, ont encore beaucoup à faire pour protéger leurs actifs informationnels contre les menaces et les attaques. Les dangers augmentent rapidement en nombre et en gravité.
Les entreprises peuvent mesurer leur progression vers la maturité en matière de cybersécurité en évaluant leurs capacités, leur technologie et leurs processus de gestion des risques. Dans un premier temps, les entreprises comblent leurs lacunes en créant et en renforçant les bases de la sécurité et de la résilience (niveau 1), puis en établissant un modèle opérationnel et une organisation pour professionnaliser la fonction de cybersécurité. Le résultat est une approche du cyberrisque basée sur la maturité (niveau 2).
La réduction du risque d’entreprise est l’objectif de l’approche plus avancée, fondée sur le risque (niveau 3) : les entreprises gèrent et mesurent les contrôles de sécurité et de confidentialité dans un cadre de risque d’entreprise, fixent des seuils d’appétence au risque et incluent toutes les parties prenantes dans le mode opératoire de la cybersécurité.
Au-delà, on trouve le niveau 4, le domaine de la cybersécurité proactive, dans lequel la résilience globale et la confiance numérique sont atteintes par la transformation des processus et l’adoption de technologies de nouvelle génération. Au niveau 4, la sécurité est intégrée dans les produits, les services et les processus (“security by design”) ; les clients, les partenaires, les tiers et les régulateurs sont pleinement intégrés dans la gestion de la résilience de l’entreprise.
Niveaux de cybersécurité par secteur d’activité
Les secteurs de la banque, des services aux consommateurs et de la santé sont les plus avancés en termes de maturité de cybersécurité. Voici les facteurs qui expliquent leur maturité :
L’environnement réglementaire. Les réglementations sectorielles et géographiques en vigueur aux États-Unis et en Europe favorisent une cybersécurité plus avancée grâce à l’examen réglementaire et aux amendes potentielles.
Les attentes des consommateurs. Dans les secteurs en contact avec les consommateurs, la progression vers une cybersécurité plus avancée s’accélère en raison de violations de données très médiatisées et d’une prise de conscience croissante de la menace qui pèse sur les informations personnelles identifiables. De plus en plus, les clients exigent également de meilleurs contrôles de confidentialité.
Pressions concurrentielles. Les consommateurs peuvent se tourner vers la concurrence s’ils n’ont pas confiance dans la sécurité de leurs données.
La variation d’un secteur à l’autre est importante, mais elle est plus prononcée au sein de chaque secteur.
Relation entre la maturité en matière de cybersécurité et la rentabilité
La maturité des organisations en matière de cybersécurité s’aligne sur une échelle de rentabilité. Bien que la maturité en matière de cybersécurité et la rentabilité ne soient pas directement corrélées dans toutes les organisations dont le profil a été établi, une relation globale entre une plus grande maturité en matière de cybersécurité et de meilleures marges est évidente.
Maturité en matière de cybersécurité, taille de l’organisation et structure de propriété
Abstraction faite des différences entre les secteurs d’activité, les organisations qui atteignent les niveaux de cybersécurité les plus élevés sont plus souvent de grande taille et à capitaux publics.
Les capacités distinctives des leaders en matière de cybersécurité
Les organisations ayant obtenu les meilleurs scores ont obtenu des résultats égaux ou supérieurs à la moyenne dans les activités de cybersécurité mesurées dans l’enquête. Quelques dirigeants se sont distingués dans un groupe restreint de ces activités, qui sont des indicateurs clés de la maturité en matière de cybersécurité : le maintien d’un inventaire à jour des actifs, la présentation de rapports sur la cybersécurité au conseil d’administration et l’application de la séparation des tâches pour les personnes ayant un accès privilégié. Les deux premières activités favorisent clairement une prise de conscience de l’état actuel de la cybersécurité, ce qui permet aux responsables d’identifier plus facilement les lacunes et de mesurer la progression des améliorations. La troisième activité est une preuve de la sensibilité opérationnelle dans l’effort pour contenir le cyberrisque.
L’enquête a interrogé les entreprises sur leur maturité en matière de cybersécurité pour toutes les activités de chaque domaine d’action.
Toutes les organisations réalisent bien ces activités
La plupart des répondants à l’enquête réalisent bien certaines des activités essentielles, notamment en communiquant les exigences de cybersécurité aux fournisseurs et aux tiers, en s’assurant que les données critiques pour l’entreprise peuvent être utilisées, en gérant la sécurité de l’accès à distance, en communiquant les politiques et les normes de cybersécurité dans toute l’organisation et en améliorant continuellement les normes et les politiques de cybersécurité.
La plupart des organisations trouvent ces activités difficiles
La plupart des organisations trouvent certaines activités difficiles, notamment la cartographie de l’organisation et des flux de données, la réalisation fréquente de simulations d’intervention en matière de cybersécurité, ainsi que l’examen et la récompense de la sécurité du code.
Les leaders sont plus performants sur ces activités
Les organisations leaders se définissent par leurs performances exceptionnelles dans plusieurs activités clés, notamment le maintien d’un faible taux de clics dans les programmes d’hameçonnage des employés, la révision et la mise à jour des priorités en matière de cybersécurité au moins une fois par an, l’utilisation d’une identité centrale et l’accès à des solutions de provisionnement et de déprovisionnement pour une majorité d’applications, l’analyse régulière de l’environnement informatique pour détecter les vulnérabilités et la recherche de renseignements sur les menaces standard et spécifiques.
En adoptant une approche de la cybersécurité basée sur le risque, les organisations leaders peuvent devenir proactives. L’enquête a également révélé que ces organisations sont plus performantes dans un certain nombre d’autres activités découlant de la reconnaissance du cyberrisque comme un risque commercial. Il s’agit notamment de l’intégration du cyberrisque et de la cyberculture dans le processus décisionnel de l’entreprise par la direction générale, de l’utilisation de scénarios de cybersécurité testés dans le cadre de la planification de la continuité des activités et de la reprise après sinistre, de l’adoption d’une approche globale de la cybersécurité afin de couvrir la chaîne d’approvisionnement et le périmètre organisationnel, de la protection par cryptage des données sensibles au repos, ainsi que de la compréhension et de l’utilisation approfondies des renseignements sur les menaces.
Enfin, l’enquête a révélé que les organisations leaders et les aspirants leaders ont obtenu de bons résultats dans dix autres activités techniques et non techniques, ce qui montre la tendance générale vers une sécurité fondée sur les risques. Ces activités comprennent l’application de contrôles techniques rigoureux autour des appareils mobiles, l’inclusion des chefs d’entreprise dans le processus décisionnel en matière de cyberrisque, la mise en place de réseaux segmentés et plus étroitement sécurisés pour mieux protéger les informations sensibles, ainsi que la mise en place d’informations et de politiques permettant une cybersécurité mature.
L’enquête fournit des preuves tangibles à l’appui des connaissances expérientielles des professionnels de la cybersécurité les plus avancés. Les attaquants ont l’avantage à l’heure actuelle et, bien que les organisations aient fait quelques progrès, la plupart d’entre elles ont encore beaucoup à faire pour devenir résilientes face aux cybermenaces existantes et proactives face à l’évolution rapide du paysage des menaces. Les organisations n’ont pas de temps à perdre pour progresser vers une cyberrésilience holistique.
Source : McKinsey
