Les nouvelles réglementations européennes obligent désormais presque toutes les entreprises à se prémunir contre les cyberattaques. Comme le détaille Thomas Vo Dinh, Manager Cyber Risk Consulting chez Marsh, ceci nécessite le déploiement de véritables stratégies sur mesure, avec à la clé des solutions efficaces et faciles d’utilisation.
Thomas Vo Dinh
Manager Cyber Risk Consulting
Marsh
Quelles sont les nouvelles impositions réglementaires en matière de cybersécurité ?
Thomas Vo Dinh : « Pour les entreprises, privées comme publiques, la directive européenne NIS2 compte parmi les plus importantes. Elle vise à améliorer et uniformiser leur niveau de maturité. Contrairement aux approches précédentes, cette imposition ne se concentre plus uniquement sur les secteurs les plus critiques et sensibles ; le NIS2 s’applique à un plus grand périmètre qu’avant (avec NIS1), dont des secteurs moins critiques et de très petites entreprises. Des contrôles seront d’ailleurs réalisés pour vérifier la conformité des mesures mises en œuvre. »
Quels types de mesures de sécurité seront désormais obligatoires ?
T. V. D. : « Typiquement, on peut citer par exemple l’authentification multifacteur (MFA), dans laquelle l’utilisateur doit fournir au minimum deux facteurs de vérification pour accéder à une ressource de type application ou compte en ligne. Le texte impose également la mise en place d’un processus de notification et de gestion des incidents, entre autres en vue de signaler les attaques dans un délai précis aux autorités de régulation. Cela permet aussi l’instauration de sauvegardes et de backups, l’amélioration de la résilience et une reprise plus rapide après une attaque. »
Le sujet de la sensibilisation à la cybersécurité est un sujet important mais il ne faut pas en arriver à culpabiliser les utilisateurs.
On imagine que c’est un fameux défi pour les entreprises…
T. V. D. : « Oui, avec des variantes selon le type d‘entreprise. Les grandes entreprises dont l’IT doit être disponible en permanence, par exemple pour leurs sites e-commerce, doivent renforcer leur résilience pour rester opérationnelles à tout moment. Les petites entreprises, elles, devront souvent partir de zéro ; ceci implique de devoir à la fois gérer la mise en œuvre des mesures de sécurité, réaliser une analyse de risques initiale, mettre en place des plans d’actions et s’entraîner. Autre exemple : les cabinets d’avocats et les médecins devront en général surtout se focaliser sur la protection de la vie privée et la confidentialité des informations. Enfin, le défi des grandes entreprises, voire des multinationales, est d’appliquer leurs mesures à l’ensemble de leurs départements, unités et filiales en ayant une vision exhaustive du sujet. »
Pour cela, ne faut-il pas d’abord instaurer de bonnes pratiques parmi les collaborateurs ?
T. V. D. : « Le sujet de la sensibilisation à la cybersécurité est un sujet important. Toutefois, il ne faut pas en arriver à culpabiliser les utilisateurs. Les équipes de cybersécurité doivent rester humbles et se rappeler que leur mission est précisément de soutenir les utilisateurs… non l’inverse ! Ceux-ci ne sont pas des experts en cybersécurité et même pas toujours conscients des risques. C’est donc aux experts de concevoir des solutions simples et fiables. Si un service informatique met en place un bouton permettant aux utilisateurs de signaler les emails de phishing, une bonne pratique peut aussi consister à ce que ce service leur fournisse un message en retour pour les remercier et les informer de l’impact de leur action. Ceci améliore considérablement l’engagement des utilisateurs dans les programmes de cybersécurité. »
Comment aidez-vous les entreprises à se prémunir des cyberattaques ?
T. V. D. : « Notre rôle principal est de résoudre des problèmes complexes liés à la cybersécurité. Nous nous concentrons sur la compréhension du profil de chaque entreprise, en tenant compte de sa culture, des risques de cyberattaques encourus, de ses moyens humains et financiers, des pratiques du marché et des solutions existantes. Il faut rendre la cybersécurité aussi efficace et facile que possible, en trouvant le meilleur équilibre entre ces deux aspects et en développant une réelle stratégie. Il s’agira par exemple de décider si l’achat de nouvelles solutions est plus pertinent qu’investir dans la formation des utilisateurs. Notre mission est généralement beaucoup moins de nous engager directement dans des activités techniques comme celle de codeur. »
Nous aidons les entreprises à mettre en place des outils de détection et de réponse aux incidents.
On entend que vos missions sont très variées, avec une approche transversale et personnalisée…
T. V. D. : « Exactement. Cela n’a aucun sens de faire une étude de cybersécurité sans avoir connaissance des risques spécifiques. Nos missions découlent de tout ce qui couvre un maximum de risques, ce qui peut donner des choses très variées. Nous aidons notamment souvent à mettre en place des outils de détection et de réponse aux incidents, comme la construction d’un Security Operation Center (SOC). Il permet de surveiller les événements en temps réel et de les traiter. Nous accompagnons aussi les entreprises dans la création de programmes de sensibilisation, ce qui passe par exemple par l’envoi de mails, la confection d’affiches ou des formations. Un autre aspect auquel nous portons une très grande attention est le talent management. Il s’agit de trouver les bons profils, mais aussi de pouvoir motiver et garder ses équipes. Dans ce cadre-là, nous réalisons des ‘skills gap assessment’ pour comprendre le niveau d’intérêt et de motivation au sein des équipes de cybersécurité. »