Comment élaborer une stratégie de cybersécurité en phase avec les objectifs de l’entreprise

Les menaces de cybersécurité ne cessent de s’intensifier et mettent en danger votre entreprise à tous les niveaux. Aujourd’hui, aucune entreprise – même celles qui n’utilisent qu’Internet et les e-mails – ne peut se permettre de faire l’impasse sur certaines vulnérabilités, que l’on n’aurait pourtant jamais imaginées, il y a 25 ans.

Les entreprises qui n’ont pas défini de stratégie de cybersécurité claire traitent souvent les menaces au cas par cas. Elles installent, par exemple, un pare-feu pour protéger leur réseau, ajoutent des outils pour détecter les malwares et lancent, de temps en temps, des analyses antivirus. Pourtant, cette approche au coup par coup présente d’importantes failles : les actifs de l’entreprise sont exposés à des risques, les opérations risquent d’être perturbées, les clients ont moins confiance et le chiffre d’affaires s’en ressent. Elle peut également créer des problèmes de gouvernance et de conformité qui seront plus difficiles à résoudre plus tard. Il est donc indispensable que les entreprises adoptent une stratégie globale de gestion des cyberrisques et l’intègrent directement dans le flux de leurs opérations à tous les niveaux. La cybersécurité ne doit pas être traitée comme un domaine technique à part. Comme pour tout système de sécurité, le facteur humain reste un élément crucial de son efficacité. Pour inscrire les principes de cybersécurité dans la culture d’entreprise et dans l’esprit des collaborateurs, il est nécessaire d’établir une feuille de route complète définissant votre stratégie de cybersécurité. Comme toute autre stratégie d’entreprise, il faut continuellement la surveiller, l’évaluer et l’optimiser.

Pourquoi chaque entreprise doit-elle avoir sa stratégie de cybersécurité ?

Les statistiques des cinq dernières années montrent une recrudescence des cybermenaces sur plusieurs fronts. Parmi les plus courantes figurent les attaques par déni de service distribué (DDoS) qui peuvent perturber des réseaux entiers, les infections par malware et les violations de données personnelles.

Augmentation des cyberrisques en Europe

Lorsqu’on se penche sur les statistiques, l’ampleur de la menace saute aux yeux. Fin 2021, une étude d’Eurostat a révélé que 22 % des entreprises de l’UE avaient subi des incidents de cybersécurité au cours de l’année. Ils ont mis hors service les services des technologies de l’information et de la communication (TIC), entraîné des corruptions de données et l’exposition d’informations confidentielles.

En 2023, un rapport de SecurityScorecard avait révélé que 98 % des plus grandes entreprises européennes avaient été confrontées à des violations émanant de leurs fournisseurs. La European DIGITAL SME Alliance confirme cette tendance : elle constante une augmentation de 57 % des cyberattaques en Europe entre 2022 et 2023. Les formes d’attaque les plus fréquentes étaient le phishing et les rançongiciels.

Types de cyberattaques

Soucieuse d’étudier la problématique plus en détail, l’ENISA a répertorié les cinq formes de cybermenaces qui sont survenues le plus fréquemment en 2024 :

• Rançongiciel : des acteurs malveillants prennent le contrôle du réseau d’une entreprise et exigent une rançon en échange de la non-divulgation d’informations compromettantes dans le domaine public.
• Attaques DDoS : assauts à grande échelle qui submergent les systèmes, les rendant indisponibles pour les entreprises et leurs clients.
• Malwares : logiciels cachant un code malveillant ou fichiers qui exécutent des actions non autorisées une fois installés.
• Ingénierie sociale : tactiques comme des e-mails de phishing qui manipulent les gens pour qu’ils révèlent des identifiants d’accès ou des informations sensibles.
• Attaques directes : tentatives de piratage ciblées visant les points faibles du périmètre de sécurité d’une organisation.

Conséquences d’une mauvaise cybersécurité

C’est lorsqu’une entreprise n’a pas de stratégie de cybersécurité bien planifiée que l’on se rend compte à quel point elle est indispensable.

Sans elle, l’entreprise s’expose premièrement à un risque de perte d’exploitation majeure, avec les conséquences économiques qui en découlent. Le moindre incident peut provoquer l’arrêt des systèmes et une perte de productivité perdue, avec un impact financier important. En 2024, par exemple, un rapport des autorités allemandes a révélé que la cybercriminalité avait coûté environ 148 milliards d’euros à l’économie nationale.

Autre conséquence fréquente : la réputation de l’entreprise peut être entachée et la confiance des clients, sapée, notamment lorsque des données confidentielles sont divulguées ou publiées. De telles violations érodent profondément l’image de fiabilité d’une entreprise, ce dont il est très difficile de se remettre et qui entraîne souvent une perte de clients et une baisse du chiffre d’affaires.

La non-conformité avec le RGPD ou d’autres réglementations nationales spécifiques ajoute un autre niveau de risque. Si une violation met en lumière un manquement aux obligations réglementaires, les amendes et pénalités infligées à l’entreprise peuvent être conséquentes. C’est notamment ce qui est survenu en 2020, lors du piratage de l’Agence européenne des médicaments (EMA) qui a exposé une grande quantité de données personnelles. Les enquêtes visant à déterminer toute l’ampleur de l’attaque sont toujours en cours.

Qu’est-ce qu’une stratégie de cybersécurité ?

Une stratégie de cybersécurité est un plan structuré et documenté qui s’applique à l’ensemble de l’entreprise. Elle définit comment celle-ci prévoit de protéger ses systèmes et ses actifs et précise toutes les mesures nécessaires pour délimiter un périmètre de sécurité autour d’eux. Elle doit couvrir tout ce que, dans le jargon informatique, on appelle la « surface de frappe » de la société, à savoir les réseaux internes, les plateformes cloud, la sécurité des applications, etc. L’objectif de cette stratégie est de protéger les environnements complexes et hybrides qu’utilisent aujourd’hui la plupart des entreprises modernes. Pour être complète, elle doit prendre en compte de nombreux facteurs différents. Elle doit s’aligner sur les objectifs commerciaux au sens large de l’entreprise, tenir compte des réalités opérationnelles, de la propension au risque et des obligations réglementaires. Il ne s’agit pas uniquement de prévoir les moyens technologiques, mais aussi de se préoccuper de domaines tels que la réponse aux incidents, la gouvernance et, surtout, le facteur humain et la culture d’entreprise.

Approches descendantes et ascendantes

Pour élaborer sa stratégie de cybersécurité, une entreprise peut suivre une approche descendante ou ascendante. En réalité, une implémentation réussie est généralement un savant mélange des deux.

Stratégie de cybersécurité descendante

Dans ce cas de figure, c’est la direction de l’entreprise qui fixe les paramètres de cybersécurité et les transmet au reste de l’entreprise pour qu’ils soient appliqués. Les cadres supérieurs définissent différents éléments tels que la propension au risque, les exigences de conformité, les seuils de perte acceptables, ainsi que la vision stratégique globale et les protections, des éléments que les équipes de sécurité vont ensuite traduire en mesures concrètes, dans le cadre de budgets, de programmes, de contrôles de sécurité et d’indicateurs de projet.

Stratégie de cybersécurité ascendante

Dans cette approche, une évaluation complète des menaces, des vulnérabilités, des lacunes en matière de cybersécurité et des mesures de contrôle proposées est effectuée par du personnel qui ne fait pas partie de la direction, tel que des équipes techniques, de sécurité et d’exploitation. Les points ainsi soulevés alimentent ensuite les décisions de la direction en matière de stratégie et de budget dédié à la cybersécurité. De cette façon, la stratégie adoptée est ancrée dans la réalité opérationnelle. En réalité, la stratégie de cybersécurité la plus efficace résulte généralement d’une combinaison pragmatique de ces deux approches.

Rôle dans la gouvernance et la continuité des activités

La stratégie de cybersécurité ne consiste pas seulement à sécuriser les actifs de l’entreprise et les données des clients. Elle joue un rôle beaucoup plus vaste, notamment en matière de gouvernance et de conformité réglementaire.

• Gouvernance : une stratégie de cybersécurité doit définir les rôles et les responsabilités de chacun, définir des procédures progressives de gestion des incidents et garantir la conformité aux obligations de supervision et de responsabilité.
• Gestion des risques : une stratégie appropriée hiérarchise la probabilité des menaces et leur impact potentiel, et prévoit les contrôles de sécurité correspondants pour atteindre des niveaux de risque résiduel acceptables.
• Résilience et continuité des activités : elle définit également les mesures de réponse aux incidents, les systèmes de sauvegarde, les plans de reprise après sinistre et les procédures de restauration.

7 étapes essentielles pour construire une stratégie de cybersécurité solide

L’élaboration d’une stratégie de cybersécurité solide se décline en phases distinctes, qui dépendent chacune de la précédente. L’objectif ultime est de trouver le juste équilibre entre une bonne préparation et une réponse efficace en cas incidents.

Feuille de route de la stratégie de cybersécurité :

• Étape 1 : Mener une évaluation complète des risques
• Étape 2 : Aligner la stratégie de gestion des risques de cybersécurité sur les objectifs de l’entreprise
• Étape 3 : Passer en revue et mettre à niveau votre stack technique
• Étape 4 : Choisir un cadre réglementaire adapté pour votre cybersécurité
• Étape 5 : Étudier et appliquer les politiques de sécurité
• Étape 6 : Planifier la gestion des risques et la réponse aux incidents
• Étape 7 : Surveiller, mesurer et améliorer la stratégie en continu

Étape 1 : Mener une évaluation complète des risques

Cette étape jette les bases de votre stratégie de cybersécurité. C’est le fondement sur lequel vous allez construire tout le reste. Voici quelques questions clés qu’il faut se poser : que protégez-vous ? Quel pourrait être le scénario d’une éventuelle attaque et quel impact pourrait-elle avoir ?

Cartographiez les menaces et les vulnérabilités

Commencez par identifier les cybermenaces les plus courantes dans votre secteur. Renseignez-vous sur les groupes de cybercriminels les plus actifs et sur les techniques qu’ils ont déjà utilisées. Il est également important d’évaluer les risques internes. Penchez-vous sur les méthodes d’attaque les plus fréquentes, telles que le phishing, les malwares ou les attaques DDoS et évaluez où se situent vos éventuels points faibles. Il peut s’agir de logiciels obsolètes ou sur lesquels vous n’avez pas appliqué de correctifs, d’erreurs de configuration du système ou de faiblesses au niveau des contrôles d’identité et d’accès.

Réalisez un inventaire complet des actifs

Il vous faut dresser la liste de tous les actifs numériques qui pourraient être directement compromis ou affectés par une intrusion. Voici quelques exemples :

• Logiciel
• Bases de données
• Nœuds de réseau
• Infrastructure cloud
• API
• Interfaces tierces
• Dispositifs de bureau physiques
• Appareils personnels (BYOD)
• Connexions d’accès à distance

Étape 2 : Aligner la stratégie de gestion des risques de cybersécurité sur les objectifs de l’entreprise

Votre stratégie de cybersécurité doit activement contribuer à vos objectifs commerciaux. Il est donc essentiel de les coordonner étroitement. La quantification de ces objectifs contribue grandement à l’élaboration d’une bonne stratégie de sécurité.

La quantification des objectifs commerciaux contribue grandement à l’élaboration d’une bonne stratégie de sécurité. Les variantes sont infinies. Mais prenons un exemple : supposons qu’une entreprise a pour objectif commercial d’améliorer la fiabilité de son site Internet afin de renforcer la confiance des clients. Cet objectif pourrait se traduire par un indicateur de sécurité qui définit le pourcentage de disponibilité requis pour les serveurs destinés aux clients.

Ou imaginons qu’une entreprise souhaite améliorer sa conformité aux normes. L’indicateur de sécurité correspondant pourrait définir les exigences spécifiques nécessaires pour répondre à des réglementations comme la directive européenne NIS2. Il faudrait également inclure dans le processus des discussions sur la propension au risque et le niveau de tolérance que l’entreprise est prête à admettre. Un temps d’arrêt des opérations de 15 minutes pour identifier une menace isolée et y remédier serait-il, par exemple, acceptable ? Quelle perte de chiffre d’affaires un tel cas de figure pourrait-il entraîner ? Est-ce un risque que l’entreprise peut absorber ? Le fait de préciser ces mesures de protection aidera l’entreprise à concevoir la feuille de route définitive pour sa stratégie de cybersécurité.

Étape 3 : Passer en revue et mettre à niveau votre stack technique

L’étape suivante consiste à passer en revue la technologie dont dépend votre entreprise et à la mettre à niveau si nécessaire pour répondre aux exigences de cybersécurité. Selon le stack technique de votre structure, il vous faudra peut-être :

Revoir l’architecture de votre système actuel

Selon les entreprises, cette étape peut concerner diverses technologies de cybersécurité. Commencez par évaluer la segmentation de votre réseau interne et les contrôles d’accès actuellement en place dans différentes sections et bases de données. Cette tâche relève de la gestion des identités et des accès (IAM).

Examinez ensuite en détail les défenses de vos terminaux ou EDR (détection et réponse aux points de terminaison). Il s’agit des mesures prises pour protéger les dispositifs utilisés par le personnel pour accéder aux ressources de l’entreprise : ordinateurs de bureau, ordinateurs portables et les smartphones, par exemple. Intéressez-vous également à vos pare-feu, à vos fichiers journaux et à vos systèmes de détection et de prévention des intrusions (IDS/IPS), sans oublier les outils de gestion des informations et des événements de sécurité (SIEM).

Évaluer les nouveaux outils

Profitez de cette étude de l’architecture de votre système pour anticiper et tenter de préparer votre stratégie de cybersécurité à répondre à vos futurs besoins. Dans un contexte où les cybercriminels ont désormais intégré l’IA à leurs techniques d’attaque, cette recommandation est loin d’être superflue. Il existe aujourd’hui de nombreux outils de cybersécurité augmentés à l’IA, mais il est indispensable de les évaluer avec soin et de commencer à les utiliser prudemment, idéalement après avoir mené des tests pilotes rigoureux et procédé à un paramétrage précis. Vous pouvez par exemple utiliser l’IA pour faciliter la détection d’anomalies et l’analyse comportementale.

Penser à vérifier vos prestataires externes et les services sur le cloud

Les logiciels tiers vulnérables peuvent présenter un risque à la fois pour votre entreprise et pour votre chaîne d’approvisionnement. Il est important d’évaluer le niveau de cybersécurité de vos fournisseurs et de remplacer tout logiciel qui ne vous inspire pas confiance. Pour les logiciels SaaS et les plateformes sur le cloud, envisagez de mettre en place des contrôles de sécurité des API pour protéger les transferts de données, ainsi que des solutions de protection de la charge de travail. Intégrez notamment la gestion sécurisée des privilèges de compte et la gestion de la posture de sécurité cloud (CSPM). La CSPM permet de conserver de la transparence et de la visibilité sur votre environnement cloud et aide à assurer votre conformité avec les réglementations et les normes de stockage sur le cloud.

Étape 4 : Choisir un cadre réglementaire adapté pour votre cybersécurité

Il existe plusieurs cadres réglementaires reconnus en matière de cybersécurité. Ils peuvent vous aider à adopter les meilleures pratiques et la bonne technologie. Ils faciliteront notamment votre mise en conformité, pour vous éviter d’éventuelles pénalités futures.

• ISO/CEI 27001 et 27002 : ces deux normes vont de pair. La norme ISO/CEI 27001 définit les exigences qui s’appliquent aux systèmes de gestion de la sécurité de l’information et décrit essentiellement les points nécessaires. La norme ISO/CEI 27002 fournit des conseils sur les meilleures pratiques et sur les contrôles, expliquant comment les mettre en œuvre efficacement.
• Règlement sur la résilience opérationnelle numérique (DORA) : ce règlement définit des lignes directrices et des normes uniformes pour les entreprises des TIC et du secteur financier. Il aborde la question de la gestion des risques, des tests de résilience, du signalement d’incidents et du partage d’informations.

Pour concevoir une bonne stratégie de cybersécurité, il est souvent nécessaire d’associer plusieurs cadres réglementaire afin de prévenir toutes les éventuelles vulnérabilités et de garantir la conformité de l’entreprise avec toutes les réglementations en vigueur pour son secteur.

Étape 5 : Étudier et appliquer les politiques de sécurité

Les politiques de sécurité sont essentielles au succès de toute stratégie de cybersécurité. Comme expliqué plus haut, la technologie à elle seule ne suffit pas. Au niveau des utilisateurs, de nombreux points d’entrée peuvent permettre à des menaces de s’infiltrer dans vos systèmes. Par conséquent, il est indispensable que les politiques soient appliquées pour assurer la sécurité de l’organisation. Dans ce contexte, il faut avant tout chercher à obtenir l’adhésion et la coopération des collaborateurs plutôt que de tenter de faire appliquer les règles en usant d’autorité.

Créez des politiques de cybersécurité efficaces

Pour créer des politiques de cybersécurité, il est préférable et souvent plus facile de suivre un processus clair. Commencez par rédiger un document concis qui lie directement chaque mesure de sécurité aux risques et aux objectifs de la société. Ceci fait, soumettez-le à tous les principaux acteurs, notamment aux services informatique et juridique, aux RH et au département de l’exploitation. Les RH jouent un rôle essentiel pour favoriser le développement d’une culture de la sécurité au sein du personnel.

Ensuite, communiquez. Veillez à ce que chaque collaborateur comprenne le rôle qu’il joue dans la stratégie globale de cybersécurité. Lorsque chacun a été sensibilisé, mettez en place des contrôles pour favoriser l’application des politiques. Il peut s’agir notamment du blocage de l’installation de logiciels non approuvés, de la restriction de l’accès à certains sites Internet ou de l’application de protections matérielles comme la désactivation des ports USB sur les ordinateurs portables de l’entreprise.

Étape 6 : Planifier la gestion des risques et la réponse aux incidents

Il faut bien être conscient d’une chose : aucun système de sécurité n’est infaillible. D’autant plus avec l’apparition incessante de nouvelles menaces. Il est donc important de définir une stratégie de gestion des risques de cybersécurité et un plan de réponse aux incidents précis.

Le programme de gestion des risques doit être très détaillé et inclure un suivi des risques en direct qui suit chaque risque, son degré de résolution, ainsi que les procédures de traitement des risques préétablies. Il convient de fixer des seuils pour déterminer les risques à faire remonter auprès de la direction. La planification de la réponse aux incidents commence par la définition des rôles et des responsabilités de chacun en cas d’incident de sécurité. Elle précise également comment hiérarchiser les alertes, quels sont les processus de prise de décision et de communication et quand il faut informer la hiérarchie des problèmes qui surviennent. Le plan d’intervention en cas d’incident doit également prévoir des procédures claires pour la limitation des risques et la restauration des systèmes. Dans l’idéal, il faudrait une procédure spécifique pour chaque type de menace : malware ou déni de service, par exemple.

Étape 7 : Surveiller, mesurer et améliorer la stratégie en continu

Une bonne stratégie de cybersécurité nécessite un suivi continu. Elle est prévue pour être constamment améliorée et perfectionnée. Quelques indicateurs clés prédéfinis permettent de suivre sa progression. Les plus fréquents sont notamment :

• Temps moyen de détection (MTTD)
• Temps moyen de réponse (MTTR)
• Nombre d’incidents de sécurité démantelés
• Résultats des analyses de vulnérabilité

Les résultats de la surveillance devraient servir à alimenter les sessions de feedback et de débriefing post-incident qui mettront à profit les enseignements tirés des différents incidents pour affiner et améliorer la stratégie. Les indicateurs sont également révélateurs du degré de conformité de l’entreprise aux normes qui s’appliquent à son activité. Une mise à jour régulière de la stratégie permet ainsi de garantir qu’elle est en phase avec l’évolution de l’entreprise, avec les technologies émergentes et avec les risques qui les accompagnent.

Développez une culture de vigilance, axée sur la sécurité

Une bonne stratégie de cybersécurité repose autant sur le facteur humain que sur la technologie. Dès les premiers jours de l’espionnage et jusqu’aux environnements professionnels connectés dans lesquels nous évoluons aujourd’hui, les mesures prises pour la sécurité ont généralement été imaginées en réaction aux comportements humains. À l’heure actuelle, de nombreuses attaques commencent par un geste apparemment anodin : un clic sur un lien de phishing, un mot de passe trop simple à deviner, l’utilisation, dans le cadre professionnel, d’un logiciel non contrôlé installé sur un périphérique personnel…

Même les plus grandes sociétés mondiales restent vulnérables à ce type de violation. En mai 2023, deux anciens collaborateurs de Tesla ont divulgué des données confidentielles de l’entreprise au quotidien allemand Handelsblatt. Cette indiscrétion a failli exposer les données personnelles de plus de 75 000 collaborateurs. Bien que les détails sur ce point n’aient pas été divulgués, Tesla encourait à l’époque des pénalités qui pouvaient s’élever à près de 3,3 milliards de dollars.

Dans une entreprise, la direction se doit de montrer l’exemple et de favoriser l’émergence d’une culture ouverte et non répressive où chacun se sent responsable de la sécurité et signale sans crainte les incidents qu’il rencontre. Les cadres supérieurs peuvent y contribuer en partageant leurs propres expériences pour montrer que personne n’est totalement à l’abri d’un faux-pas et qu’il n’y a aucune raison de se culpabiliser ou d’avoir peur pour des erreurs qui ont été commises de bonne foi. Une direction qui s’engage visiblement en matière de cybersécurité a un profond impact sur le reste du personnel.

Les programmes de sensibilisation et de formation jouent un rôle crucial dans la construction d’une culture de la sécurité résiliente. Face à un paysage de la cybersécurité en perpétuel évolution, des sessions de remise à niveau régulière peuvent s’avérer utiles pour actualiser les connaissances au fur et à mesure. Les simulations d’attaquessont également des exercices intéressants, car elles offrent aux collaborateurs un espace sûr pour s’entraîner à bien réagir en cas d’incident, favorisant ainsi une application sûre des procédures. Dans certaines entreprises, les indicateurs de performance incluent des critères liés à la sécurité. Cela permet d’identifier les domaines où une aide ou une formation de remise à niveau supplémentaire pourrait être nécessaire.

Conclusion : la stratégie de cybersécurité doit être pensée de manière globale

Partout en Europe, les entreprises sont confrontées à une vague de plus en plus intense de cybermenaces perpétrées par des pirates amateurs qui cherchent à attirer l’attention, par des cartels organisés de cybercriminels professionnels ou même par des entités à la solde de gouvernements, comme celles qui ciblent les fournisseurs d’électricité. Il faut être réaliste : qu’il s’agisse de PME ambitieuses ou de sociétés bien connues, toute entreprise peut être vulnérable.

Et plus elles adoptent des technologies à distance comme les services sur le cloud et les logiciels SaaS, plus les faiblesses risquent d’être nombreuses. Il est donc nécessaire de concevoir une stratégie complète de gestion des risques de cybersécurité qui protège toute la surface de frappe, qu’elle soit interne, en ligne, ou qu’elle fasse partie de la chaîne d’approvisionnement. Cependant, la cybersécurité ne se résume pas à des contrôles techniques. Elle doit également s’aligner sur les objectifs commerciaux de l’entreprise et être conforme aux cadres réglementaires applicables à l’entité.

En réalité, la sécurité dépend autant des comportements humains que de la technologie adoptée. Il est indispensable de mettre en place une culture de la vigilance, où chacun se sent responsable et signale sans crainte les problèmes qui surviennent.

Rappelons enfin que la cybersécurité est un cycle qui doit être poursuivi continuellement. À mesure que de nouvelles menaces apparaissent, de nouvelles contre-mesures sont nécessaires. Sans compter que votre stratégie de cybersécurité doit suivre la croissance de votre entreprise, s’adapter aux nouvelles technologies que vous adoptez et aux changements réglementaires qui affectent votre secteur. Pour mieux comprendre comment appliquer ces principes, nous vous invitons à regarder cette masterclass avec Stefano Ferrara et Niklas Tausend. Ils y décortiquent les éléments qui favoriseront le bon fonctionnement de la cybersécurité au sein de votre entreprise grâce à une intégration efficace de la stratégie et des outils adéquats dans le flux de travail et la culture d’entreprise au quotidien.