bas121 - stock.adobe.com
La gestion du risque cyber est essentielle à une bonne hygiène de sécurité
S’exprimant au congrès (ISC)2, l’assistant adjoint du directeur du FBI, Don Freese, a enjoint les professionnels de la sécurité informatique à remplacer peur et émotion par une gestion rigoureuse du risque cyber.
Pour Don Freese, les professionnels de la sécurité informatique dirigent trop souvent par la peur et l’émotion alors qu’ils devraient parler une langue que comprennent les dirigeants et membres de conseils d’administration : celle du risque.
Freese, assistant adjoint du directeur du FBI, et ancien patron de le National Cyber Investigative Joint Task Force américaine, s’exprimait en début de semaine au congrès de l’(ISC)2 sur l’importance de la gestion du risque cyber et la manière dont le manque de pratiques rigoureuses pénalise la posture de sécurité des entreprises.
Lors d’un échange avec Brandon Dunlap, responsable sénior de la sécurité, du risque et de la conformité d’Amazon, Freese a ainsi déploré que « lorsque l’on commence à utiliser l’émotion et la peur pour orienter la conversation – et il est souvent dit que, dans le jeu de la sécurité, notre pire problème est l’humain –, on échoue à faire passer ce message fondamental ».
Une approche plus pragmatique
Pour Freese, essayer de pousser les dirigeants à l’action par la peur n’est pas efficace. Au lieu de cela, les professionnels de la sécurité doivent identifier et mesurer les risques qui pèsent sur leur organisation et déterminer ceux qui sont les plus pressants et ne nécessitent qu’une portion des ressources limitées de celle-ci pour être contenus : « c’est la manière dont on échange avec le monde des affaires. Nous voulons parler d’un accroissement de la rigueur dans la manière dont est géré le risque ».
Alors pour lui, la gestion du risque cyber commence avec la distinction, par les équipes de sécurité, entre risque et menace. Las, selon lui, « souvent, on confond les deux, ce qui tend à appréhender chaque risque concevable comme une menace imminente ».
Selon Freese, « ce n’est tout simplement pas une bonne façon de communiquer sur ce que l’on essaie de faire. Cela n’aide pas hiérarchiser nos ressources contre les menaces ». Pour lui, cela rend le message confus et donne l’impression de « crier au loup ».
Afin d’éviter cela, il convient de faire la part des choses entre les menaces possibles (quasiment tout, reconnaît-il), et celles qui sont probables. Ces dernières représentant, selon Freese, un éventail bien plus restreint et gérable. Et tout cela doit se faire en analysant les intentions et les capacités des acteurs malicieux potentiels, la fréquence d’occurrence de la menace, et l’impact potentiel d’une attaque réussie.
« Si l’on démarre la conversation avec non seulement la probabilité d’une menace, tout en décrivant sa fréquence et l’ampleur des impacts en fonction des intentions et des capacités, alors on s’inscrit dans une logique bien plus compréhensible », estime Freese. Mais il reconnaît néanmoins que l’exercice est « difficile ». C’est pour cette raison « que l’on ne fait pas encore ».
La cyberassurance : pas encore la réponse
Dunlap a interrogé Freese sur la croissance du marché de l’assurance contre le risque cyber et si elle est susceptible d’aider les organisations à mieux gérer ce dernier. Mais pour l’assistant adjoint au directeur du FBI, « la cyberassurance ne s’est pas encore installée comme un mécanisme réelle robuste. Mais c’est surtout parce que l’on ne mesure pas encore très bien les risques ».
Toutefois, il relève que les actuaires d’assurance travaillent sur la question : « plusieurs groupes actuariels se penchent sur le risque cyber pour le mesurer d’une façon quantifiable à de pures fins d’assurance ».
Pour autant, selon Freese, les entreprises doivent commencer à avancer dans l’élaboration de plans de gestion du risque cyber. Dans ses fonctions au FBI, il a été amené à travailler avec des entreprises du monde entier pour répondre aux problèmes et menaces de cybersécurité. Et selon lui, les entreprises qui réussissent et échappent aux gros titres sur les brèches de sécurité ont toutes une chose en commun : « elles gèrent le risque d’une manière très mesurable, très incrémentale, et très consistante. Elles savent ce qui se passe sur leurs réseaux et savent quels types de données elles manipulent ».