[Par Yves Duguay, MBA, IAS.A. Publié le 26 Janvier 2021]
Sommaire
Il s’avère que plusieurs entreprises sous-estiment encore les coûts et l’impact opérationnels causés par les cyberattaques. Selon nous, c’est la source de risque qui affectera le plus durement les grandes entreprises et les agences gouvernementales canadiennes, au cours des prochaines années.
Il semble, du moins selon notre analyse, qu’on n’ait pas apprécié à sa juste valeur, le rôle que peut jouer la sécurité des TIs dans un environnement aussi instable et turbulent que celui qui prévaut en ce moment. La sécurité des TIs, encadrée systématiquement et formellement, peut accroître la résilience de l’entreprise et devenir une source de création de valeur, surtout pour les entreprises avec un profil de risque de sécurité élevé.
Ceci est d’autant plus important quand on considère les investissements massifs que l’on observe en sécurité des TIs. Alors, il serait sans doute judicieux d’encadrer ces investissements dans un modèle de gouvernance adapté à la sécurité des TIs.
Ce cadre de gouvernance peut être développé à partir du référentiel COBIT 2019 (Control Objectives for Information and Related Technologies), un modèle de normes promulguées par l’ISACA (Information System and Control Association) ou encore avec le référentiel NIST (National Institute of Standards and Technology) pour les entreprises qui utilisent déjà ces normes. D’autres référentiels, comme ISO/IEC, sont aussi disponibles et applicables.
Un environnement incertain et menaçant
Notre analyse de la situation s’est d’abord portée sur les défis et les risques auxquels nous sommes confrontés et comment une gouvernance formelle des TIs peut contribuer à une meilleure gestion des cyberrisques et contribuer au développement d’une « résilience organisationnelle, c’est-à-dire l’aptitude d’une organisation à composer avec un environnement incertain et potentiellement menaçant ». (Baitan, Jolly, & Morin, 2020).
Nous avons aussi voulu cerner plus exactement l’impact total des cyberrisques sur nos entreprises, comme les pertes financières encourues, les investissements massifs en sécurité, les coûts de gestion, les amendes réglementaires, le dommage à la réputation de nos entreprises et la fragilisation des liens de confiance avec nos clientèles.
En considérant cet impact, les coûts et la haute fréquence de ces attaques, on peut se demander si les dirigeants et les conseils d’administration ont toute l’information et l’expertise nécessaires pour assurer un contrôle prudent de la sécurité des TIs ?
Afin d’effectuer une surveillance diligente de ces activités, les dirigeants et les conseils d’administration devraient encadrer la sécurité des TIs, avec une structure formelle, un modèle de gouvernance, ou un « focus area », tel que défini par l’ISACA :
“A focus area describes a certain governance topic, domain or issue, that can be addressed by a collection of governance and management objectives and their components. Examples of focus areas include small and medium enterprises, cybersecurity, digital transformation, cloud computing, privacy and DevOps. Focus areas may contain a combination of generic governance components and variants.” (ISACA: Information Systems Audit and Control Association, 2018)
Ce modèle ne se limite pas à l’ajout ou l’achat de nouvelles solutions technologiques, comme c’est trop souvent le cas, la technologie est un outil, ce n’est pas une fin en soi. Ce cadre doit reposer sur un ensemble de politiques, procédures, standards et contrôles, afin de gérer ces risques de façon systématique. Le modèle que nous proposons doit accorder une importance toute particulière aux facteurs humains, à la sensibilisation du personnel, à sa formation ainsi qu’à la gestion de la performance des employés en matière de sécurité et de conformité.
L’institut de l’assurance du Canada (IAC) a d’ailleurs publié un excellent article concernant l’importance du facteur humain dans la prise de décision en sécurité des TIs :
« À cause de l’utilisation accrue de l’ingénierie sociale par les criminels, les sociétés ont intérêt à mettre en place une culture de sécurité. Elles doivent faire prendre conscience aux employés de l’entreprise des menaces d’attaque et les informer des pratiques exemplaires permettant de minimiser les risques de dommage. L’ingénierie sociale qui met l’accent sur les comportements humains et la prise de décision est associée aux investissements dans les systèmes de sécurité technique. » (L'Institut d'assurance du Canada (Kovacs, Paul and associates), 2015)
La sécurité et la résilience de l’entreprise : une combinaison gagnante
Les compagnies dont les activités s’étendent au secteur bancaire, au domaine des télécommunications, de la santé, du transport et des infrastructures critiques, ainsi que les agences gouvernementales et publiques chargées d’assurer la sécurité du public, partagent en général un profil de cyberrisque élevé. À cela se conjugue la nécessité de se conformer aux nombreuses obligations réglementaires qui encadrent leurs opérations, dont la protection et la confidentialité des renseignements personnels.
On ne peut plus simplement se demander SI nos entreprises seront affectées, mais bien plutôt, QUAND et à quelle FRÉQUENCE ces attaques se répéteront. C’est notre nouvelle réalité !
Dans cet environnement, la clé du succès résidera dans notre capacité de détecter et de réagir rapidement et efficacement à ces attaques, c’est ce qui explique qu’il nous faut investir dans la résilience de nos organisations.
Un profil de risque élevé
La visibilité des entreprises ayant un profil de risque élevé, ainsi que la criticité des services et des produits qu’elles offrent, font en sorte qu’elles sont ciblées, plus souvent qu’autrement, par des éléments criminels, des activistes ou encore par des états « voyous » qui s’opposent à notre politique internationale ou à nos valeurs de société. On se souviendra par exemple qu’à l’automne 2019, l’agence des revenus du Canada (ARC) a subi 350 000 attaques durant une période de douze heures,[1]ce qui mena à un bris de service important et une fuite massive de dossiers personnels. Ces incidents sont devenus malheureusement monnaie courante et ces activités illicites ne feront qu’augmenter.
En effet, il existe même une industrie parallèle de technologies informatiques vouée uniquement à faciliter les cyberattaques et à contrecarrer nos outils de détection. C’est le monde à l’envers !
Selon une étude menée par le « Center for Strategic and International Studies », l’impact économique et financier associé aux incidents de sécurité, surtout pour les entreprises financières, augmentera significativement au cours des prochaines années. Nous sommes d’avis que cette tendance vaut également pour les organisations opérant dans un environnement à risque élevé :
« The threat landscape for financial institutions is becoming bigger, more complex, and more sophisticated…At the top of the growing cadre of advanced persistent threats (APTs) are nation states…The threat from organized criminal groups is also growing as these groups become larger, wealthier, more coordinated and gain access to more sophisticated tools.” (Carter, 2017)
L’attrait que ces entreprises exercent pour les attaquants est d’autant plus grand lorsque celles-ci adoptent une stratégie pour accélérer la numérisation de leurs opérations, notamment lorsqu’il s’agit d’infrastructures physiques informatisées comme les « internet of things » (IOT) et les « Operational technologies » (OP). Cette inquiétude semble être d’ailleurs partagée par les dirigeants de grandes entreprises:
« Cyber incidents rank as the top peril for companies globally in the Allianz Risk Barometer for the first time after receiving 39% of responses from more than 2700 risk management experts in 100 countries and territories”. (Allianz, 2020)
“With no effective guard rails in cyberspace that can govern practices or control attacks on digital technology, a majority of CEOs surveyed foresee increasing legislation around online content, data privacy and dominant technology platforms”. (Price Waterhouse Cooper, 2020)
On doit effectivement se questionner sur la pertinence d’investir des sommes importantes dans une stratégie de numérisation des services et des produits, sans d’abord planifier et prévoir une protection adéquate, afin d’assurer la disponibilité et la confidentialité des produits et services qui sont offerts. Les conséquences de ces actes criminels sont non seulement extrêmement coûteuses, mais elles peuvent également faire dérailler les meilleures stratégies d’affaires et entacher la réputation des organisations, de façon irrémédiable.
Malgré cela, on entend trop souvent dire que les pertes associées à ces attaques sont inévitables et que c’est « the cost of doing business » ! Cette tolérance, selon nous, est injustifiée et est causée par une lecture erronée de l’environnement et une évaluation incorrecte de l’impact réel et total de ces activités illicites sur nos entreprises.
[1] https://ici.radio-canada.ca/nouvelle/1745268/attaque-informatique-hopitaux-canada-etats-unis-quebec-virus-rancon
Évaluer correctement l’impact et les coûts associés au cyberrisque
Comment ces attaques persistantes peuvent-elles affecter les fondements de notre mission et de nos objectifs stratégiques ? Quel est l’impact réel sur nos opérations et nos finances ? Comment cela affecte-t-il la disponibilité de nos services et la confidentialité des informations qui nous sont confiées par nos clients ?
Est-ce que ces questions sont soulevées et considérées par les membres du conseil d’administration ? Sans un cadre formel de gouvernance de la sécurité des TIs permettra, il peut être difficile de trouver réponses à ces questions.
Les organisations qui sauront tirer leur épingle du jeu dans cet environnement turbulent seront celles qui investiront judicieusement dans leur résilience, en maximisant les leviers que sont la sécurité, la conformité, la gestion des incidents et la continuité des affaires.
Effectivement, les entreprises qui ont adopté cette approche, ce cadre formel, ont non seulement constaté une baisse des attaques de l’ordre de 11%, une réduction des bris de sécurité de l’ordre de 27%, mais elles ont également réduit, de façon significative, le coût moyen des attaques (voir Figure 1). (Bissell, Lasalle, & Dal Cin, 2020). La réduction des coûts moyens pour une attaque ($273,000.00 US ou $365,000.00 CAD) peut à elle seule justifier l’investissement pour financer et développer un tel projet de gouvernance.
De plus, ces entreprises réussissent à mieux planifier et gérer les investissements en sécurité des TIs, qui, au fil des ans, n’ont cessé d’augmenter pour atteindre une cadence devenue quasi insoutenable :
« The three areas of cybersecurity protection with the largest increases in costs are network security, threat detection and security monitoring. Reflecting these trends, 69 percent of respondents said staying ahead of attackers is a constant battle and the cost is unsustainable”. (Bissell, Lasalle, & Dal Cin, 2020)
La sécurité et le lien de confiance avec le client
Nos stratégies reposent bien souvent sur le lien de confiance, que nous avons développé à grands frais, avec notre clientèle. La sécurité des TIs, bien encadrée, peut appuyer cet objectif stratégique, en protégeant efficacement la confidentialité des renseignements que les clients partagent avec nous et la disponibilité des services que nous leur offrons.
Ceci est considéré, à juste titre, comme étant un élément crucial de la stratégie des organisations, comme l’ont soulevé les chefs de l’information (CIO) lors de sondages et d’entrevues menées par KPMG et Harvey Nash en 2019 :
« 91% of participants agree that privacy and trust will be as important as product/service offering in customer attraction”. (Harve Nash/KPMG, 2019).
On retrouve cette même préoccupation de la part des CIOs, cette fois dans le contexte de la COVID 19, dans le sondage mené par les mêmes firmes, en 2020 :
« In light of the new reality, what are your top three most important technology investments: Security and privacy at 47%; Customer experience and engagement at 44% and Infrastructure/cloud at 35%.” (Harvey Nash/KPMG, 2020)
Solution: développer un modèle de gouvernance pour la sécurité des TIs
Pour les entreprises désireuses d’encadrer ces activités, il est essentiel, en premier lieu, de revoir l’analyse des risques et des menaces, en utilisant des standards comme ISO (International Organization for Standardisation), NIST (National Institute of Standards and Technology) ou encore FAIR (Factor Analysis of Information Risk), afin d’obtenir une lecture correcte de leur environnement.
Par la suite, on pourra même évaluer le niveau de maturité de l’entreprise, en utilisant un questionnaire d’autoévaluation et l’échelle CMMI (Capability Model Maturity Integration) (ISACA (regroupement d'auteurs), 2018, p. 20). Le questionnaire peut être développé à partir du référentiel COBIT 2019, en utilisant les objectifs de gouvernance et de gestion les plus pertinents pour la gouvernance de la sécurité des TIs (ISACA (regroupement d'auteurs), 2018, p. 12)
Par la suite, l’analyse des résultats du questionnaire servira à cibler le modèle de sous-gouvernance de la sécurité des TI, selon les écarts observés et la tolérance de l’organisation dans sa gestion des risques.
Idéalement, ce modèle permettra, du moins on l’espère, d’impliquer la sécurité dès le début de la phase de planification, plutôt qu’après coup, comme c’est malheureusement trop souvent le cas !
Au-delà de l’infrastructure technologique : les facteurs humains
Il faut comprendre que tout modèle de gouvernance nécessite une fondation constituée de politiques, procédures, normes et contrôles. Cette documentation ne doit pas se limiter uniquement à l’examen de structures ou de solutions technologiques. La sécurité des TIs doit aussi considérer les facteurs humains associés à la sécurité et la conformité.
La plupart des incidents et des attaques de sécurité surviennent lorsque des employés sont impliqués, à titre d’acteurs volontaires ou involontaires dans des incidents ou des attaques informatiques. Il s’agit, la plupart du temps, d’erreurs humaines de bonne foi, dues à un manque de connaissance ou à un niveau de sensibilisation à la sécurité (« security awareness ») qui ne correspond pas profil de risque de l’entreprise.
À cet égard, un des meilleurs investissements en sécurité des TIs, selon nous, est l’adoption et la mise-en place d’une approche systématique pour sensibiliser et informer les employés, comme celle développée par le SANS (SysAdmin, Audit, Network and Security) (DeBeaubien & Sptizner, 2018).
La non-conformité avec les procédures externes (légales et réglementaires) et internes (procédures normales d’exploitation) alliée parfois à l’absence d’imputabilité, constitue, selon nous, la cause principale, le « root cause » pour les incidents majeurs qui ont fait la manchette des médias.
Pour justifier sa contribution, la sécurité devra démontrer sa valeur ajoutée comme le font les autres départements, avec des données et des indicateurs de rendement. Comme Edwards Deming le disait si bien, « In God we trust. Everyone else, bring data! ».
Finalement, l’adoption d’un modèle de sous-gouvernance des TIs, supporté et parrainé par le comité exécutif et le CA, enverra un message fort et clair aux employés concernant l’importance que l’on accorde à la sécurité et à la conformité.
Facteurs de succès
En effet, l’appui du PDG et du conseil d’administration sont essentiels, car ce qui est important pour le PDG et le conseil, est habituellement perçu comme étant très important pour les gestionnaires et les employés.
Ce support et cette vision du PDG devront être communiqués à l’ensemble de l’organisation, avec, comme toile de fond, une politique de la sécurité des TIs, qui positionnera la sécurité comme une valeur d’entreprise, au même titre que le service à la clientèle.
De plus en plus de conseils d’administration sont conscients de l’importance que l’on devrait accorder à cet enjeu. Selon une récente étude menée par McKinsey (Bailey, Banerjee, Feeney, & Hogsett, 2020), de 20% à 30% des conseils d’administration ont instauré un comité des TIs pour exercer une surveillance accrue et prudente de ces activités, pour promouvoir la résilience organisationnelle, pour protéger les parties prenantes et assurer la pérennité de l’entreprise.
Nous espérons tous que cette tendance se poursuivra.
Yves Duguay, MBA, IAS.A
Bibliographie
Allianz. (2020, January). Allianz Risk Barometer 2020. Consulté le Octob er 2020, sur Allianz: www.agcs.allianz.com
Bailey, T., Banerjee, S., Feeney, C., & Hogsett, H. (2020, October 2). McKinsey & Company. Cybersecurity: Emerging challenges and solutions for the boards of financial-services company.
Baitan, M., Jolly, D., & Morin, E. (2020, Automne). Bilan d'une crise - Qu'est-ce que la résilience d'entreprise. (Gestion HEC Montréal) Consulté le Octobre 2020, sur https://www.revuegestion.ca/qu-est-ce-que-la-resilience-d-entreprise: www.revuegestion.ca
Bissell, K., Lasalle, R., & Dal Cin, P. (2020). Third annual state of cyber resilience: Lessons from leaders to master cybersecurity execution. Consulté le Octobre 2020, sur Accenture Security: www.accenture.com
Carter, W. A. (2017, Octobre 2). Forces shaping the cyber threat landscape for financial institutions. Consulté le Octobre 2020, sur Center for strategic and international studies (CSIS): https://www.csis.org/programs/technology-policy-program/cybersecurity-and-governance/financial-sector-cybersecurity-0
Cebula, J., Popeck, M., & Young, L. (2014). A Taxonomy of Operational Cyver Security Risks, Version 2. Pittsburgh: Software Engineering Institute, Carnegie Mellon University.
DeBeaubien, D., & Sptizner, L. (2018). SANS Security Awareness Report: Creating Environments for Successfull Awareness Programs. Consulté le Octobre 2020, sur SANS: https://www.sans.org/security-awareness-training/reports/2018-security-awareness-report
Harve Nash/KPMG. (2019, Juin). A Change Perspective: CIO Survey 2019. Consulté le Octobre 2020, sur KPMG: https://home.kpmg/xx/en/home/insights/2019/06/harvey-nash-kpmg-cio-survey-2019.html
Harvey Nash/KPMG. (2020, September). Everything changed. Or did it? CIO Survey 2020. Consulté le Octobre 2020, sur KPMG: https://home.kpmg/xx/en/home/insights/2020/09/harvey-nash-kpmg-cio-survey-2020-everything-changed-or-did-it.html
ISACA (regroupement d'auteurs). (2018). ISACA, Cobit 2019: Governance and Management Objectives. Schaumberg, Illinois, United States. Consulté le Octobre 2020, sur ISACA: www.isaca.org
ISACA. (2018). COBIT 2019 Implementation Guide. Implementing and Optimizing an Information and Technology Goverance Solution. (ISACA, Éd.) Pittsburgh, Illinois, USA.
ISACA. (2018). COBIT 2019: Introduction and Methodology. Personnal copy of Yves Duguay. (ISACA, Éd.) Pittsburgh, Illinois, USA. Consulté le Octobre 2020, sur ISACA: www.isaca.org
ISACA: Information Systems Audit and Control Association. (2018). COBIT 2019 Framework: Introduction and Methodology. Consulté le septembre 09, 2020, sur ISACA: www.isaca.org
L'Institut d'assurance du Canada (Kovacs, Paul and associates). (2015). Les cyberrisques: conséquences pour l'industrie de l'assurance au Canada. Consulté le Octobre 2020, sur L'institut d'assurance du Canada: www.institutdassurance.ca
McKinsey & Company Bailey, Tucker; Banerjee, Soumya; Feeney, Christopher; Hogsett, Heather. (2020, Octobre 02). Cybersecurity: Emerging challenges and solutions for the boards of financial-services company.
Mingay, S., & Topham, D. (August 2018 ). Integrate "shadow IT" and business-led IT into the I&T operating model to enable enterprise agility. Gartner. (Gartner, Éd.)
Mossburg, E., Gelinne, J., & Calzada, H. (2016). Beneath the surface of a cyber attack: a deeper look at business impacts. Consulté le octobre 2020, sur Deloitte: https://www.deloitte-france.fr/formulaire/telechargement/cyber-2016/?_ga=2.192741612.73458821.1603043979-1152878538.1603043979
NACIRI, A. (2011). Traité de gouvernance d'entreprise: l'Approche Scolaire. (P. d. Québec, Éd.) Québec, Québec, Canada: Presses de l'université du Québec.
Price Waterhouse Cooper. (2020). PWC 23rd annual global CEO survey. Consulté le Octobre 2020, sur PWC: www.ceosurvey.pwc
PWC Price Waterhouse Coopers. (2020, January). Navigating the rising tide of uncertainty. Consulté le October 2020, sur PWC 23rd annual global CEO Survey: www.ceosurvey.pwc