Cybersécurité : quand l’inaction des conseils d’administration fait le lit de la vulnérabilité

Dans le climat actuel où les cyberattaques font de plus en plus la une des journaux, aucune organisation n’est à l’abri de l’anxiété suscitée par cette menace. Certaines études indiquent que 64 % des entreprises dans le monde ont été victimes d’au moins une cyberattaque au cours de l’année écoulée. Cependant, cette “cyber anxiété” ne se traduit pas par des actions concrètes en matière de cybersécurité au plus haut niveau du management de la hiérarchie. De plus, selon un sondage réalisé auprès de dirigeants d’entreprises, 65 % d’entre eux estiment que, malgré leurs investissements, leur organisation demeure exposée au risque d’une attaque matérielle au cours des 12 prochains mois. Il est donc évident que malgré les discours rassurants de nombreuses organisations sur la priorité accordée à la cybersécurité, cet engagement n’est pas véritablement ressenti par les dirigeants. Cependant, il existe des moyens pour les organisations de renforcer leur résilience face aux cyberattaques et de rétablir la confiance au sein du conseil d’administration.

Un nouveau paysage des menaces

Tout d’abord, il est utile de rétablir le contexte de la cybersécurité tel qu’il se présente aujourd’hui. Si de nombreuses organisations sont conscientes des risques liés à l’ingénierie sociale, comme les e-mails de phishing, et mettent en place des formations et des outils de filtrage, cela ne suffit plus à assurer une sécurité totale. En effet, les attaques contournant les systèmes d’authentification multi-facteurs (MFA) se multiplient. Ces attaques, qui combinent l’ingénierie sociale et d’autres techniques de piratage, contournent les dispositifs de MFA et mettent en évidence les limites de cette méthode de protection. Même les grandes marques et les fournisseurs de services cloud, tels qu’Uber, Reddit et Twilio, ont été récemment touchés.

Il convient également de prendre en compte un nouvel élément : la montée en puissance des outils d’intelligence artificielle générative qui rendent plus facile que jamais l’automatisation et la création d’e-mails de phishing extrêmement convaincants. Face à ces nouvelles menaces, il est primordial de prendre des mesures préventives efficaces.

Et si l’on pouvait éviter l’inévitable

Une interrogation majeure émerge : si des mesures préventives existent, pourquoi ces attaques continuent-elles ?  Cela s’explique en partie par le manque de dialogue entre les membres du conseil d’administration et les responsables de la sécurité des systèmes d’information (RSSI). Moins de la moitié des membres du conseil d’administration interagissent régulièrement avec les RSSI, et près d’un tiers ne les rencontrent qu’à l’occasion de présentations. Ce manque de dialogue témoigne du peu d’attention et de responsabilité accordées à la cybersécurité. Les RSSI sont souvent conscients des défis, mais ils se retrouvent souvent sans les ressources, le financement ou le soutien nécessaires pour apporter des changements significatifs. Cette situation est encore plus préoccupante dans les petites organisations, où les équipes informatiques peuvent travailler en isolation et être incapables d’influencer les décisions stratégiques.

Vers une organisation proactive : passage à l’action  

Il devient nécessaire de changer de perspective. La cybersécurité ne doit pas être considérée comme relevant uniquement du département informatique, mais comme une question stratégique et organisationnelle majeure. Il est également important d’aborder la cybersécurité lors de réunions non techniques et d’encourager les discussions sur ce sujet. En remettant en question les informations présentées, en partageant des anecdotes personnelles ou en félicitant activement ceux qui s’impliquent dans les changements organisationnels, les dirigeants peuvent amorcer un véritable changement.

Si la menace que représentent les dommages à la réputation et aux finances en cas d’attaque ne suffit pas à susciter une action, il est important de considérer les exigences réglementaires futures. Les meilleures pratiques en matière de cybersécurité et de MFA résistante aux attaques de phishing pourraient devenir des exigences réglementaires, en particulier pour les fournisseurs de services cloud qui doivent protéger les actifs numériques de leurs clients. Anticiper ces demandes futures en investissant dès maintenant dans la cybersécurité permettra aux entreprises de rester compétitives sur le marché.

Il est grand temps de changer la culture de la peur qui entoure la cybersécurité au sein du conseil d’administration. Les dirigeants doivent se sentir à l’aise pour aborder le sujet de la cybersécurité et doivent accorder à cette question l’importance qu’elle mérite. En prenant des mesures concrètes et en investissant dans des solutions préventives, les entreprises peuvent renforcer leur résilience face aux cyberattaques et protéger leurs intérêts à long terme.