Cette série porte sur la gestion du cyberrisque, mais il s’agit en réalité de renforcer la cyberrésilience. Aucune entreprise financière ne réussira à 100 % à prévenir les cyberattaques.
Si la prévention complète n’est pas un objectif réaliste, préparer l’entreprise à survivre à une attaque, tout en s’efforçant de prévenir la plupart des attaques, est la meilleure façon d’avancer.
Les entreprises peuvent prendre plusieurs mesures pour évoluer vers un modèle de résilience plus robuste et mature. Si je pouvais recommander une carte ou un plan à suivre, il comprendrait les étapes d’action suivantes :
Concevoir un modèle opérationnel
Concevoir un modèle opérationnel qui intègre les bonnes ressources informatiques, de risque et commerciales dans le processus. Le modèle peut varier et peut aller d’une approche dirigée par l’informatique à la création d’une fonction dédiée à la gestion des cyberrisques. Mais nous pensons que la meilleure solution est de créer une fonction axée sur le risque. Cette fonction devra s’adapter à la culture de votre entreprise. Pour aller plus loin, les entreprises financières pourraient désigner un responsable du cyberrisque, chargé de surveiller et de gérer le cyberrisque dans toutes les facettes de l’entreprise. Cette personne travaillerait horizontalement entre le responsable du risque, le responsable de l’information et le responsable des opérations afin d’encourager les investissements, la maintenance et le contrôle adéquats des multiples points d’entrée et d’attaque.
Analyser les scénarios
Nous pensons que la gestion du risque cybernétique devrait commencer par l’analyse de scénarios, et s’en servir pour étoffer les processus et les contrôles qui devraient être examinés. Ce n’est qu’alors que vous pourrez contribuer à atténuer les attaques qui cherchent les failles entre vos fonctions et vos processus. Chaque scénario nécessite un plan de réponse clair au cas où le pire se produirait. Les entreprises qui réagissent bien après une brèche semblent préserver leur réputation et maintenir le cours de leurs actions. Il ne s’agit pas d’un domaine auquel il faut penser plus tard. Il doit faire partie de l’analyse initiale.
Identifier les éléments les plus précieux
Les entreprises doivent clairement identifier les éléments de contenu et les données les plus précieux qui doivent être protégés à tout prix. Cette étape de hiérarchisation est essentielle lorsque vous reconnaissez qu’il est impossible d’assurer une protection à 100 %. Placez vos verrous les plus puissants et vos meilleures cyberdéfenses autour de vos informations les plus précieuses.
Gérer les talents
La gestion des talents, dans un vivier de talents restreint et très compétitif, est essentielle à un bon programme de résilience. Sachez de quels talents vous avez besoin et, lorsque vous les aurez trouvés, offrez-leur une formation solide et créez une culture d’accueil pour les retenir. Enfin, la fonction de gestion des cyberrisques doit formaliser le cadre en construisant une série de processus et d’actions appartenant au directeur des risques, au directeur de la conformité, aux chefs d’entreprise et au directeur de la sécurité de l’information.
Ces étapes ne sont pas exhaustives et peuvent ne pas être totalement applicables à chaque institution. Mais en substance, le fait de suivre ces étapes ou des étapes similaires peut aider une entreprise financière à prévenir les cyberattaques lorsqu’elle le peut et à y survivre lorsqu’elle ne peut pas le faire.