Secu
Gérer l’incertitude : Trois leçons pour cultiver une culture de la sécurité
Par La rédaction, publié le 20 juin 2024
Comme bien des entreprises, l’éditeur MongoDB a été victime d’une cyberattaque d’envergure en 2023. Voici son retour d’expérience et les leçons qu’il en a tiré pour développer une culture de la cybersécurité et gérer l’incertitude.
Par George Gerchow, Head of Trust de MongoDB
En cette ère où les défis de sécurité sont devenus monnaie courante pour les entreprises, il est impératif de mettre en place une culture de la sécurité robuste. Les récents mois de l’année 2023 ont été témoins d’une série d’incidents de sécurité, touchant des entreprises de toutes tailles dont la nôtre. Ces événements aussi désagréables qu’ils puissent être, ont confirmé l’importance pour les responsables de la cybersécurité de mettre en œuvre des pratiques solides, tout en soulignant la nécessité d’instaurer une culture de sécurité proactive au sein des organisations.
Comme le souligne le National Institute of Standards and Technology (NIST), une culture de la sécurité solide implique que les employés « considèrent les bonnes pratiques de cybersécurité comme une chose positive pour l’entreprise ». Plus la sécurité est enracinée dans les activités quotidiennes d’une entreprise et plus elle fait partie de la responsabilité de chaque employé, plus l’entreprise sera vigilante et réactive.
Cela passe par plusieurs étapes clés :
Etape 1 : Se préparer à l’imprévisible
Dans notre monde interconnecté, les incidents de sécurité peuvent survenir à tout moment. Il est essentiel que les équipes de sécurité comprennent que ces incidents font partie intégrante de la vie d’une entreprise moderne. Par ailleurs, les circonstances entourant ces incidents peuvent être imprévisibles. Par exemple, lors de la gestion d’un incident de sécurité, les équipes doivent faire face à des imprévus tels que des pannes de courant, des pannes matérielles et même des tragédies personnelles. Ces défis inattendus soulignent l’importance de la préparation et de la résilience face à l’inconnu.
Etape 2 : De l’importance d’une équipe solidement constituée
Selon le site Layoffs.fyi, plus de 250 000 personnes ont été licenciées en 2023 dans le secteur des nouvelles technologies, parmi lesquelles plusieurs milliers de professionnels de la cybersécurité. Si les mesures de réduction des coûts ne sont en rien une nouveauté, l’idée de « faire plus avec moins » ne fonctionne pas dans notre domaine.
En effet, des politiques de réduction des effectifs excessivement agressives se traduisent généralement par une augmentation des risques, que ce soit en créant involontairement des menaces internes ou en confiant des tâches supplémentaires à des collaborateurs non formés ou surchargés, une approche qui donne souvent lieu à des vulnérabilités.
A contrario, les responsables de la sécurité doivent adopter une stratégie de « défense en profondeur » dans l’optique de prévenir les incidents et d’éviter une dépendance excessive des collaborateurs lorsqu’un incident se produit. Il convient en outre de ne pas oublier à quel point une opération de réponse à incident peut être stressante. C’est pourquoi il est essentiel d’accorder des pauses à votre équipe, ainsi que de reconnaître le rôle clé que leur support apporte à l’entreprise.
Or, les responsables de la sécurité ne peuvent garantir le bon niveau d’investissement sans le soutien de leurs dirigeants. Dans un trop grand nombre d’entreprises hélas, les RSSI ne font pas partie de l’équipe dirigeante. L’engagement du conseil d’administration est donc loin d’être gagné d’avance. Il est à cet égard essentiel que les responsables de la sécurité aient l’oreille de leurs dirigeants pour obtenir les ressources dont ils ont besoin.
Enfin, un RSSI doit pouvoir compter sur un adjoint aux compétences complémentaires auquel il accorde sa pleine confiance. En deux mots, la solidité d’une maison dépend de ses fondations.
Etape 3 : Communiquer d’une seule voix
Dans le cadre de la gestion des incidents de sécurité, une communication claire et opportune est aussi importante que la résolution technique elle-même : « une voix, un message ». En effet, lorsque la communication et la réaction de l’entreprise sont vues comme opaques ou malhonnêtes, la perception publique devient plus néfaste que l’incident en soi.
Dans notre cas, il était essentiel pour nous d’être transparent et de communiquer au bon moment, suite à l’attaque qui nous a touché en décembre dernier. Il est important de fournir des faits concrets et des informations précises aux chargés de clientèle qui doivent traiter des demandes de renseignements de la part de nombreux clients, de sorte que chacun pourra ensuite utiliser le même récit en toute cohérence.
Enfin, l’obtention du feu vert de la direction dès les prémices d’une crise permettra de rationaliser la communication jusqu’à ce que l’incident soit maîtrisé.
Heureusement, la plupart de ces principes étaient déjà en place dans de nombreuses entreprises lors des récentes cyberattaques qui les ont touchés. Même si des ajustements sont toujours envisageables, une réaction rapide à l’imprévu est possible grâce à des équipes solides et à des processus déjà établis.
Depuis lors, nombre de ces entreprises, et de celles épargnées jusqu’à présent, ont pris des mesures supplémentaires pour renforcer leur posture de sécurité et se préparer à l’avenir. Par exemple, de plus en plus d’équipes mènent des exercices plus approfondis, et des considérations telles que la gestion du stress accru sont intégrées dans leur préparation.
Dans ce contexte, de nombreuses entreprises ont également commencé à nommer des “responsables de la confiance“. Ces profils stratégiques sont chargés de développer des relations visant à améliorer les stratégies et les solutions de sécurité de leurs entreprises respectives.
Bien que travaillant en étroite collaboration avec les clients pour renforcer leur posture de sécurité, ils contribuent également à promouvoir une culture de la sécurité en interne. Comme l’indique Punit Renjen, CEO mondial de Deloitte, « la confiance n’est pas seulement un résultat du succès, c’est un ingrédient essentiel au succès. »
Compte tenu du nombre croissant de menaces liées à l’essor des technologies telles que l’IA générative, il est primordial de mettre en place des cultures de sécurité robustes. Pour reprendre une autre maxime (légèrement galvaudée), « il faut tout un village » pour prévenir les incidents de sécurité et y répondre.