Construire une stratégie intégrant la prévention et la réponse aux incidents
Une entreprise résiliente doit s'assurer que le cyber-risque fait partie intégrante de son plan de résilience opérationnel, qu'il est ancré dès le départ et qu'il est intégré à l'ensemble de l'entreprise. Cela passe notamment par un plan de réponse à incident (dossier dans lequel les procédures sont détaillées et testées plusieurs fois). Encore trop d’entreprises ne disposent pas de plan d'intervention en cas de faille de sécurité. Pourtant, la capacité d'une entreprise à réagir rapidement à un incident et à s'en remettre commence par le développement d'une solide capacité d'intervention.
Par ailleurs, les bénéfices de l'intégration de la cyber-résilience dans un projet de transformation numérique se mesurent par les avantages commerciaux qu’elle génère. Les entreprises sont souvent prises dans une spirale de réduction des coûts et de précipitation dans la stratégie Go-to-Market ; et la cybersécurité est souvent perçue comme une source de ralentissement de ce processus. Or, inclure la sécurité au début de chaque nouvelle initiative permettra de s'assurer qu'elle est intrinsèque à toutes les activités de l’entreprise. Elle deviendra alors un catalyseur d'affaires - et non un frein à l'activité.
Qu’il s’agisse des attaques par ransomware, par DDoS ou plus récemment par cryptojacking, ces événements ont malheureusement démontré l’impact que les cyberattaquants peuvent avoir sur une entreprise, tant en pertes financières qu’en termes de ralentissement des activités. Ainsi, les sphères dirigeantes prennent peu à peu conscience de la nécessité d’une vraie stratégie de cybersécurité.

Former ses équipes
Si une grande partie des entreprises constatent un écart entre leur culture de cybersécurité actuelle et celle souhaitée, c’est principalement à cause d’un manque de formation des salariés sur le sujet.
Dans ce contexte, la difficulté consiste à intégrer l’idée de cyber-résilience dans toutes les strates de l’entreprise, et ne plus se cantonner aux seuls responsables informatiques. Pour y parvenir, les chefs d’entreprise doivent adopter un nouveau style de leadership et repenser la structure organisationnelle, de façon à accompagner leurs salariés dans cette voie. Le challenge pour la direction est donc de créer une culture de sécurité en investissant dans les outils, l'expertise, la surveillance en continu et un style de leadership adapté. Il ne suffit pas d'investir dans des technologies innovantes pour stimuler la transformation numérique. La règle du « people first » est plus valable que jamais.
C’est d’ailleurs souvent en temps de crise que les salariés prennent conscience que la sécurité est l’affaire de tous. Et les conséquences se répercutent sur l’ensemble de l’entreprise, du DSI au directeur marketing en passant par le DAF jusqu’au Directeur Général. D’où l’importance de sensibiliser et de former ses salariés, peu importe leur qualification ou le secteur dans lequel ils évoluent.

L’objectif final : la cyber-résilience
Trop souvent, les entreprises se cachent derrière la technologie pour répondre à leurs besoins en matière de sécurité, allant jusqu’à se mettre dans une position de dépendance vis-à-vis d’outils qui ne s’avèrent pas toujours adaptés aux usages des salariés. Il est temps d’adopter une approche managériale, dans laquelle la cyber-résilience deviendrait une valeur inhérente au succès de l’entreprise. Au-delà d’un simple état d’esprit, la cybersécurité doit être portée par l’ensemble des équipes et ancrée dans les valeurs des salariés. En considérant la cybersécurité comme l’un des piliers de la culture d’entreprise, les dirigeants ne feront qu’accroitre leur capacité à se maintenir à flot et à générer du chiffre d’affaires supplémentaire, en contournant une partie des menaces, et ce grâce à la confiance de son écosystème en sa cyber-résilience.

La résilience des entreprises ne consiste pas seulement à se remettre des incidents de sécurité - il s'agit de les anticiper et de les prévenir. De nombreux programmes de sensibilisation à la sécurité existent, et permettent de changer les mentalités : ces initiatives constituent un excellent point de départ. Il est important de rappeler qu'un programme efficace de sensibilisation à la sécurité n'est pas seulement une question de sensibilisation. Il s'agit de définir et de renforcer les bonnes habitudes des salariés en matière de sécurité.

Par Pierre-Yves Popihn, Directeur Technique France chez NTT Security