-
La cybersécurité et la résilience des entreprises sont de plus en plus scrutées par les investisseurs et les régulateurs.
-
Les principes de cyber-risque du Forum économique mondial contribuent à renforcer la cyber-résilience dans tous les secteurs.
-
La recherche assistée par simulation du MIT CAMS montre que l'engagement et l'adoption des principes de cyber-risque du Forum économique mondial améliorent considérablement la cyber-résilience.
-
Les résultats montrent également que, contrairement aux attentes, l'engagement envers ces principes de cyber-risque n'augmente pas les coûts.
La numérisation sans précédent dans notre société a poussé de nombreux chefs d'entreprise et cadres à comprendre comment ils peuvent évaluer et gérer adéquatement le cyber-risque. La gouvernance du cyber-risque est un processus holistique visant à améliorer la cyber-résilience organisationnelle. Dans ce contexte, les gouvernements définissent obligations de cyber-résilience, désigner infrastructures critiques qui nécessite une protection obligatoire et aider les investisseurs mieux comparer cyber efforts de leurs entreprises.
Une gestion réussie de la cyber-résilience est nécessaire car les organisations et les dirigeants sont passibles d'amendes et d'autres conséquences graves. Les répercussions potentielles signifient que les membres du conseil d'administration doivent comprendre les cyber-risques et les meilleurs moyens de les atténuer.
C'est plus facile à dire qu'à faire. Quatre-vingt-treize pour cent des entreprises sont confiantes dans leurs meilleures pratiques d'atténuation des cyber-risques, tandis que 57 % s'attendent à être touché par une cyberattaque. Malheureusement, seule la moitié de ces organisations ont mis en place des cybermesures adaptées.
Stimuler la cyber-résilience intersectorielle
En 2021, le Forum économique mondial et ses partenaires, avec la National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) et PwC, ont publié le Principes de gouvernance du conseil d'administration en matière de cyber-risque (les principes du cyber-risque du Forum), essentiels pour renforcer la résilience dans tous les secteurs. Ces lignes directrices (initialement élaborées pour les conseils d'administration des entreprises) se résument en six principes :
-
Reconnaître que la cybersécurité est un catalyseur commercial stratégique.
-
Comprendre les moteurs économiques et l'impact du cyber-risque.
-
Aligner la gestion des cyberrisques sur les besoins de l'entreprise.
-
Assurez-vous que la conception organisationnelle prend en charge la cybersécurité.
-
Intégrer l'expertise en cybersécurité dans la gouvernance du conseil.
-
Encourager la résilience systémique et la collaboration.
Le principe représente une approche sensiblement différente de la résilience par rapport à comment les organisations déléguer la cybersécurité à l'informatique, avoir une perception erronée de la nature stratégique du cyber-risque et garder les failles secrètes.
Une perception erronée de la nature stratégique des cyber-risques peut avoir d'énormes conséquences. Par exemple, la société de logiciels Kasaye expérimenté une attaque de ransomware en juillet 2021, qui a entraîné le report de leur offre publique initiale (IPO) prévue jusqu'à nouvel ordre, les conduisant à ne parvient pas à élever estimé à 875 millions de dollars. De plus, SolarWinds, violé en 2019, disposait de techniques publicitaires spécifiques pour afficher ses réussites commerciales de clients de haut niveau, fournissant finalement une « liste de courses » pour l'adversaire.
L'adoption des principes de cyber-risque du Forum démontre que les organisations individuelles peuvent améliorer considérablement leur cyber-résilience sans augmenter les coûts.
»
— Sander Zeijlemaker, Research Affiliate Cybersecurity au MIT Sloan (CAMS), directeur général du Disem Institute | Michael Siegel, chercheur principal, directeur de la cybersécurité au MIT Sloan (CAMS) | Daniel Dobrygowski, responsable de la gouvernance et de la confiance, Forum économique mondial
Comprendre par la simulation
Le cyber-risque étant une question vitale à l'ordre du jour des dirigeants, le MIT CAMS a développé une méthode pour améliorer les capacités des dirigeants à prévoir et gérer les cyber-risques. Cette technologie, appelée tableau de bord des cyber-risques, est fondée sur la théorie du contrôle et la dynamique des systèmes et s'appuie sur d'importantes recherches dans le domaine, y compris des entretiens avec des responsables de la sécurité de l'information (CISO). Il a été validé au fil des ans dans une entreprise du Fortune 500 en analysant un large éventail de défis stratégiques en matière de cyberrisques.
Le tableau de bord reproduit fidèlement l'écosystème de prise de décision en matière de cyberrisques. Il prend en compte la posture de défense actuelle et le développement de tactiques d'attaque, les cyberincidents émergents et l'évolution des organisations en termes de personnes, de processus et de technologie. Le tableau de bord des risques cyber fournit les moyens de faire des projections selon les indicateurs de performance de la stratégie de cybersécurité d'une organisation. Ce travail peut être facilement adapté à d'autres analyses stratégiques. Les CAM du MIT ont utilisé une approche de simulation ajoutée pour comprendre le comportement organisationnel lors de l'adaptation des principes de cyber-risque du Forum.
L'utilisation de personnes – profils de décideurs artificiels avec des caractéristiques spécifiques qui orientent leur stratégie de gestion des cyber-risques – est une approche scientifiquement fondée pour explorer le côté comportemental de la gestion des cyber-risques. En utilisant les personnalités de différentes organisations pour guider la prise de décision stratégique, cette technologie de simulation peut prévoir l'impact futur de leur stratégie. Dans cette analyse, nous réutilisons également les données de notre étude de cas anonymisée dans une entreprise Fortune-500 appelée Smart Wealth Management Inc. À ce titre, nous reconnaissons :
Le PDG cyber-conscient (CC-CEO)
Ce PDG est peut-être au courant des principes mais ne les a pas encore (encore) adoptés. Ce PDG se concentre sur le respect raisonnable des normes de sécurité et contrôle les coûts de sécurité. L'augmentation de la charge de travail et le manque de ressources de sécurité conduisent à une approche plus réactive du cyber-risque.
Le PDG résilient au WEF (WEF-CEO)
Ce PDG est cyber-conscient mais est allé plus loin en adoptant les principes du cyber-risque du Forum pour favoriser la résilience. Il ou elle peut être signataire de la Charte du Forum Engagement de cyber-résilience. Ce PDG a une approche proactive et anticipatrice des menaces, sait comment sa technologie pilote son entreprise et se concentre sur le maintien des performances de l'entreprise et les prévisions des coûts des cyber-risques.
La sensibilisation stratégique favorise la cyber-résilience
Nous observons une différence significative lorsque l'on compare la force de la posture de défense représentée par le nombre d'incidents de sécurité/actifs compromis. Le PDG qui suit les principes du cyber-risque du Forum (le WEF-CEO) devrait avoir jusqu'à 85 % moins d'incidents cybernétiques (voir Figure 1) par rapport au CC-CEO.
Figure 1. Incidents cumulés sur 60 mois pour la stratégie de gestion des risques cyber du CC-CEO et du WEF-CEO. Image : MIT CAMS
Les efforts en matière de cyber-risque et la hiérarchisation des tâches du WEF-CEO permettent une intervention précoce qui limite les comportements contradictoires, tandis que l'équipe du CC-CEO répond souvent plus lentement, ce qui profite finalement à l'adversaire.
Des informations similaires peuvent être observées dans le profil de risque (voir Figure 2) concernant une distribution de fréquence d'occurrence potentielle d'incidents cybernétiques en faveur du PDG du WEF, principalement lorsqu'un grand nombre d'incidents cybernétiques peut nécessiter que les équipes informatiques aident les équipes de sécurité. Ces situations, connues sous le nom d'effets d'entraînement, nécessitent une redéfinition des priorités des tâches informatiques, généralement au détriment de la livraison du projet informatique.
Figure 2. Le profil de cyber-risque est basé sur la répartition des incidents de sécurité potentiels sur 60 mois pour la stratégie de gestion des cyber-risques du CC-CEO et du WEF-CEO. L'analyse de sensibilité est effectuée avec une plage de certitude de 95 %. L'adoption des principes de cyber-risque du Forum démontre que les organisations individuelles peuvent améliorer considérablement leur cyber-résilience sans augmenter les coûts. Image : MIT CAMS
Une approche résiliente n'augmente pas les coûts
Le WEF-CEO a probablement des coûts inférieurs à ceux du CC-CEO (voir Figure 3). La principale différence entre ces deux scénarios réside dans l'attribution des priorités des tâches et les efforts du personnel de sécurité en matière de cyber-risque. Le CC-CEO a des efforts continus qui nécessitent des ressources humaines supplémentaires pour soutenir les processus d'intervention et de récupération, exécuter des recherches post-mortem et ajuster et améliorer les capacités de sécurité en conséquence. La sécurité dès la conception mise en œuvre par le PDG du WEF a un ajustement et une amélioration proactifs continus des capacités (y compris une automatisation continue) et a mis en place des tableaux de bord et des rapports réguliers sur les cyber-risques au niveau du conseil d'administration.
Figure 3. Ressources (ETP) sur 60 mois pour la stratégie de gestion des risques cyber du CC-PDG et du WEF-PDG. Image : MIT CAMS
L'adoption des principes de cyber-risque du Forum démontre que les organisations individuelles peuvent améliorer considérablement leur cyber-résilience sans augmenter les coûts. Dans ces simulations, l'adoption des principes s'est avérée précieuse. Dans la pratique, l'interdépendance et la connectivité entre les organisations introduisent de nouvelles interdépendances, qui seront explorées par d'autres recherches et simulations. Cependant, les conclusions actuelles en elles-mêmes plaident en faveur des organisations pour qu'elles adoptent les principes du cyber-risque du Forum.
Lien : https://www.weforum.org/agenda/2022/11/as-cyber-attacks-increase-heres-how-ceos-can-improve-cyber-resilience/
- fourmi financière
- blockchain
- conférence blockchain fintech
- carillon fintech
- coinbase
- cognitif
- crypto conférence fintech
- la cyber-sécurité
- FinTech
- application fintech
- innovation fintech
- Actualités Fintech
- OpenSea
- PayPal
- technologie payante
- voie de paiement
- Platon
- platon ai
- Intelligence des données Platon
- PlatonDonnées
- jeu de platogamie
- rasoir
- Revolut
- Ripple
- fintech carré
- bande
- fintech tencent
- photocopieuse
- zéphyrnet
