Aux portes – Comment survivre à l’ère de la cyberinsécurité

Assiégée

Cela signifie que les entreprises doivent faire face à trois tendances principales : un fardeau législatif croissant; un environnement plus litigieux à la suite de cyberincidents; et une attention accrue portée à la responsabilité individuelle.

L’angle législatif est de plus en plus complexe dans les juridictions du monde entier. Au Royaume-Uni, par exemple, de la loi sur l’utilisation abusive de l’informatique en 1990 et de la directive européenne sur la protection des données de 1995 en passant par la réglementation sur la sécurité des réseaux et des systèmes d’information en 2018, le règlement général sur la protection des données du Royaume-Uni en 2021 et la prochaine loi européenne sur l’IA, les entreprises sont aux prises avec une myriade d’interventions gouvernementales ayant un impact sur la sécurité numérique. Aux États-Unis, la Maison-Blanche a publié sa stratégie nationale de cybersécurité, qui vise à améliorer les cyberinvestissements et la répartition des risques. Le gouvernement australien élabore également la stratégie de cybersécurité du pays, préfigurant une réforme législative importante.

De plus, la cybersécurité est une question multinationale, ce qui signifie que vous devez faire face à différents régimes de réglementation dans les juridictions dans lesquelles vous opérez. Il devient un champ de mines.

Selon Chainalysis, les paiements mondiaux estimés identifiés comme reçus par les cyberattaquants ont plus que quadruplé chaque année, passant de 174 millions de dollars en 2019 à 765 millions de dollars en 2020. La hausse a incité certains gouvernements à envisager une intervention, la ministre australienne de l’Intérieur et de la Cybersécurité, Clare O’Neil, signalant que le gouvernement australien envisageait une proposition visant à interdire le paiement de rançons. Bien qu’une interdiction éliminerait logiquement l’incitation commerciale aux attaques de rançongiciels, la proposition reste complexe, en particulier si les actifs ou les opérations de base sont touchés par les rançongiciels.

Même si la fréquence ou la valeur des paiements d’extorsion commence à baisser, il est généralement admis que le coût plus large de la cybercriminalité continuera d’augmenter.

Les chiffres impliqués racontent leur propre histoire. Selon le Fonds d’équipement des Nations Unies, le coût direct total de la cybercriminalité mondiale en 2020 était d’environ 945 milliards de dollars. Cependant, lorsque les coûts indirects tels que le dénigrement de la marque, la violation de la propriété intellectuelle et les opportunités perdues sont pris en compte, le chiffre gonfle à environ 4 billions de dollars.

Dans ce contexte, il n’est pas surprenant que la surveillance réglementaire semble devoir s’intensifier.

De plus, l’attention réglementaire est surveillée par les parties qui cherchent à intenter des recours collectifs. En Australie, les récentes violations de données très médiatisées ont donné lieu à de multiples recours collectifs, les organisations touchées faisant également l’objet d’enquêtes par le Bureau du commissaire australien à l’information.  Pendant ce temps, les régulateurs britanniques se concentrent de la même manière. Le bureau du commissaire à l’information a émis deux « méga amendes » à la suite de violations au cours des dernières années, Marriott recevant une amende de 18,4 millions de livres sterling en 2020 à la suite d’un cyberincident en 2014 et British Airways se voyant infliger une amende de 20 millions de livres sterling à la suite d’une violation révélée en 2018.

Bien sûr, les régulateurs peuvent s’intéresser particulièrement à une violation de données s’ils estiment qu’il y a eu des lacunes dans la cybersécurité de l’entreprise. Cela peut être utilisé comme arme par les entreprises plaignantes, qui tirent parti des conclusions des régulateurs pour intenter des poursuites au nom des personnes concernées.

Bien que tout cela devrait suffire à concentrer l’esprit des conseils d’administration, il y a un autre point de vulnérabilité : un accent renouvelé sur la responsabilité individuelle des administrateurs. Cela se joue principalement aux États-Unis, mais les conseillers avertissent que cela pourrait être un signe des choses à venir à l’échelle mondiale. Ceux qui opèrent dans le secteur des services financiers du Royaume-Uni sont déjà soumis au régime des cadres supérieurs et de la certification.

2022 a connu le taux le plus élevé d’attaques de phishing mobile jamais enregistré, selon la société de logiciels Lookout. Au Royaume-Uni, les chiffres du gouvernement montrent que 83% des entreprises qui ont signalé une cyberattaque en 2022 ont identifié les tentatives de phishing comme moyen d’attaque.

La crainte est que ces méthodes deviennent plus efficaces en raison des développements de l’intelligence artificielle (IA). Un exemple notable est le chatbot d’OpenAI, ChatGPT, qui a récemment été exploité par des cybercriminels pour générer du contenu malveillant tel que des e-mails de phishing et des logiciels malveillants. Bien sûr, le potentiel de l’IA va dans les deux sens : la technologie peut être déployée dans la cyberdéfense ainsi que dans la cybercriminalité, mais les inquiétudes augmentent.

Canard et couverture

Les marchés de l’assurance excellent généralement à mettre un prix sur le risque – une réalité qui a vu certaines polices inhabituelles souscrites au fil des ans. Cependant, les récents développements dans le secteur de l’assurance sapent la confiance dans le fait que l’industrie interviendra pour couvrir les cyber-risques. L’année dernière, Lloyd’s of London a annoncé que les cyberpolitiques bénéficieraient d’une exemption pour les attaques menées par des acteurs soutenus par l’État. Au départ, cela peut sembler peu surprenant – les actes de guerre ont longtemps été exclus par les polices d’assurance. Cependant, c’est une qualification troublante lorsque la question de savoir si un acteur de la menace est parrainé par l’État est de plus en plus floue.

En outre, les conflits juridiques sur la question de savoir si une attaque a été soutenue par un pays semblent inévitables. Par exemple, en 2022, le groupe pharmaceutique Merck a obtenu gain de cause devant un tribunal américain selon lequel une exclusion de guerre ne devrait pas être appliquée à une évaluation de sa perte de 1,4 milliard de dollars subie à la suite d’une attaque de logiciels malveillants de 2017 connue sous le nom de NotPetya. La distinction entre guerre numérique et criminalité numérique n’a jamais été aussi floue, et les assureurs espèrent apporter des éclaircissements sur un marché encore relativement jeune.

Pour l’instant, les entreprises font face à une pression intense pour démontrer aux assureurs qu’elles disposent d’une stratégie robuste et réalisable pour se défendre contre les cyberincidents. La cyberassurance n’est généralement disponible que pour les entreprises qui peuvent démontrer un niveau acceptable de résilience. En outre, les risques font grimper les primes, tout comme les pertes importantes subies par les fournisseurs de cyberassurance au début du cycle de vie de la police.

Jeux de guerre Forever

C’est un refrain courant parmi les tacticiens militaires depuis que le commandant prussien Helmuth von Moltke l’a fait remarquer en 1880 : aucun plan ne survit au premier contact avec l’ennemi. Mais si la maxime est vraie en matière de conflits et de crimes numériques, elle ne change rien au fait qu’un plan d’action rigoureusement testé et flexible est bien meilleur que l’improvisation une fois que les cyber-hostilités commencent. Élaborer des plans cohérents, assurer une sensibilisation généralisée dans l’ensemble de l’entreprise et wargame ces plans pour maintenir la familiarité, socialiser les types de questions auxquelles l’entreprise devra répondre et révéler les problèmes imprévus sont les mesures les plus efficaces que les entreprises peuvent prendre pour se protéger.

La cybersécurité ne se limite pas à la technologie : l’élément humain est central. L’essentiel est de former votre personnel et de ne pas perdre de vue la dimension humaine à côté de la dimension technique. Vous pouvez corriger toutes les vulnérabilités de sécurité possibles et avoir toujours un énorme incident parce que les informations d’identification de quelqu’un ont été volées.

Pourtant, s’assurer que les piliers technologiques et humains de la cyber-résilience disposent de ressources et de formation suffisantes nécessite l’adhésion totale du conseil d’administration. La salle de conseil doit se rendre compte que les choses vont changer au cours des prochaines années et qu’il vaut mieux être à l’avant-garde et avoir fait des plans et budgétisé pour cela. En termes simples, si chaque membre du conseil d’administration de chaque conseil d’administration britannique était allumé et avait donné des instructions pour une préparation appropriée et examiné tout cela, alors la résilience de toute la nation serait beaucoup plus élevée.

La réalité ultime est que la cybercriminalité, bien qu’elle soit une préoccupation courante depuis 20 ans, est un facteur de risque croissant pour les entreprises. La meilleure défense reste moins sur la technologie de pointe et plus sur l’entreprise peu glamour d’un processus organisationnel sain. Obtenir les bonnes bases : former le personnel, maintenir les logiciels à jour, sauvegarder les données et maintenir des politiques de réponse raisonnables et réalisables. Même si les risques et les technologies continuent de se transformer dans la cybersphère, les bases de politiques de gestion des risques bien mises en œuvre mais peu tape-à-l’œil restent plus pertinentes que jamais.