Votre entreprise accepte-t-elle trop de risques ?

Les ransomwares restent l'une des menaces les plus perturbatrices auxquelles les entreprises sont confrontées aujourd'hui, mais de nombreuses organisations continuent de sous-estimer le risque qu'elles acceptent réellement. 

Si les investissements dans les outils et les contrôles de sécurité sont courants, le véritable défi réside dans le fait que les pratiques opérationnelles et le comportement humain vont souvent bien au-delà de ce que les conseils d'administration ont tendance à accepter.

Cet article examine comment l'appétit pour le risque façonne la posture de sécurité, les indicateurs qui suggèrent qu'une organisation prend plus de risques de ransomware que prévu, et pourquoi le comportement humain représente désormais la variable la plus critique dans la résilience de l'entreprise.

Qu'est-ce que l'appétence de l'entreprise pour le risque ?

L'appétence de l'entreprise pour le risque est le niveau d'incertitude qu'une organisation est prête à accepter dans la poursuite de ses objectifs. Il détermine les priorités en matière de sécurité, les décisions de financement et, en fin de compte, la résilience de l'entreprise face aux menaces modernes de ransomware.

Appétit ou tolérance

• L'appétit pour le risque est stratégique. Il s'agit de savoir si les dirigeants sont prêts à accepter une plus grande incertitude en échange de la rapidité et de la croissance, ou si l'entreprise opte pour une approche conservatrice afin de minimiser l'exposition.
• La tolérance au risque est opérationnelle. Il traduit l'appétit en seuils mesurables : temps d'arrêt maximal autorisé, perte acceptable d'enregistrements de clients ou taux de résilience cible en matière de phishing.

La distinction est importante car la tolérance crée les critères de référence que les RSSI et les conseils d'administration utilisent pour évaluer si leur dispositif de sécurité actuel est conforme à l'appétit déclaré. Dans le même temps, une absence d'appétence pour le risque peut être aussi préjudiciable à une entreprise qu'une appétence trop forte. Une entreprise trop sûre d'elle pour innover ou répondre aux demandes de ses clients n'aura pas de succès.

Pourquoi le risque humain doit-il être pris en compte ?

Trop souvent, ces définitions se concentrent sur la technologie et les processus, mais excluent l'élément humain. Cependant, les employés jouent un rôle central dans la détermination de l'exposition aux risques par le biais d'actions comme celles-ci :

• Cliquer sur un courriel malveillant.
• Mauvaise configuration du stockage en nuage.
• Mauvaise gestion des données sensibles sur les plates-formes de collaboration.

Ces actions ont des conséquences directes sur la confiance des clients, la conformité réglementaire et la réputation de la marque. En les ignorant, on fausse le véritable profil de risque de l'entreprise et on sous-estime le degré d'incertitude qu'elle supporte réellement. Comprendre intentionnellement l'appétit pour le risque humain permet à une entreprise de savoir quelle friction de sécurité introduire dans le flux de travail d'un employé, ce qui réduit les risques de comportement risqué mais peut ralentir la productivité.

Pourquoi un risque cybernétique excessif met l'entreprise en danger

Le risque est inévitable, mais un risque cybernétique excessif érode la résilience et multiplie les coûts. Le danger ne réside pas seulement dans un incident unique, mais aussi dans la façon dont les petites faiblesses s'accumulent au fil du temps. Il s'agit d'un concept connu sous le nom de "dérive sécuritaire". Accepter des exceptions répétées en matière de risque vous éloigne de votre niveau d'appétence au risque et augmente la probabilité d'une violation. Ces problèmes mineurs, s'ils ne sont pas gérés, créent des ouvertures que les attaquants exploitent :

• Un arriéré de systèmes non corrigés crée de multiples points d'entrée.
• Un clic de phishing fournit des informations d'identification que les attaquants peuvent réutiliser d'une plateforme à l'autre.
• Une réponse tardive à l'incident amplifie le rayon d'action de l'explosion.

Individuellement, ces questions peuvent sembler gérables. Ensemble, ils multiplient les risques et placent l'organisation dans un état de vulnérabilité persistante, augmentant ainsi la probabilité d'un incident ou d'une violation plus grave.

Les conséquences d'un risque non géré

​​Lorsque ces faiblesses se rejoignent, l'impact sur l'entreprise va au-delà des opérations informatiques :

• Financier : Selon les décideurs en matière de sécurité, l'exposition ou le vol de données par un initié coûte en moyenne 13,9 millions de dollars, ce qui contraste fortement avec l'investissement relativement modeste nécessaire pour les contrôles préventifs. Les frais de recouvrement comprennent le paiement des rançons, la défense juridique, les amendes réglementaires et le coût du rétablissement des opérations.
• La réputation : Les violations publiques sapent la confiance des clients et des investisseurs. Dans de nombreux cas, l'image de marque à long terme subit plus de dommages que la perte financière immédiate.
• Opérationnel : Les temps d'arrêt interrompent la génération de revenus, perturbent les chaînes d'approvisionnement et empêchent les équipes de servir les clients. Des interruptions, même brèves, peuvent se répercuter sur les fonctions critiques de l'entreprise.
• Juridique : Les recours collectifs, les actions en justice des actionnaires et les enquêtes réglementaires ajoutent des années de responsabilité à la suite d'un incident majeur.

Ces impacts ne sont pas hypothétiques. Une étude de Forrester sur l'impact économique total™ (TEI) a révélé que l'utilisation d'une solution de sécurité du courrier électronique telle que Mimecast pour réduire les risques liés au courrier électronique a généré un retour sur investissement de 255% et une valeur actuelle nette de 1,53 million de dollars sur une période de trois ans pour une organisation composite.

Indicateurs clés : votre organisation accepte trop de risques

Un risque excessif n'est pas toujours évident. De nombreuses entreprises pensent que leur position est équilibrée jusqu'à ce que des indicateurs mesurables suggèrent le contraire.

Signaux opérationnels

• Augmentation des temps de détection et de réponse (MTTD/MTTR) : Les équipes de sécurité s'efforcent de contenir rapidement les incidents.
• Vulnérabilités non corrigées : Un arriéré croissant de CVE suggère un manque de ressources ou des priorités mal alignées.
• Surcharge d'alertes : Les analystes sont submergés, ce qui entraîne des réponses manquées ou retardées.
• Nombre d'exceptions accordées en matière de risque : Un nombre élevé d'exceptions approuvées - en particulier celles qui sont renouvelées à plusieurs reprises sans qu'aucune mesure corrective n'ait été prise - indique que les contrôles sont systématiquement contournés au lieu d'être appliqués.

Signaux culturels

• La sécurité contournée au profit de la rapidité : les unités opérationnelles contournent les contrôles pour atteindre des objectifs à court terme.
• Le risque est considéré comme un problème informatique : les dirigeants ne considèrent pas le risque cybernétique comme un problème commercial.
• Silos décisionnels : les départements agissent indépendamment les uns des autres, ce qui laisse des zones d'ombre dans la sécurité de l'ensemble de l'entreprise.

Signaux d'essai et de préparation

• Des exercices sur table peu fréquents : Les simulations sont irrégulières, voire inexistantes.
• Manuels périmés : Les guides de réponse aux incidents ne reflètent pas les menaces actuelles.
• Manque d'exercices d'intrusion : Les équipes ne sont pas confrontées à des scénarios d'attaque réalistes.

L'ensemble de ces signes indique qu'une organisation fonctionne au-delà de la tolérance prévue, souvent sans que cela soit officiellement reconnu.

Quel niveau de risque est trop élevé ? Réglage des seuils de tolérance.

Chaque organisation a une appétence pour le risque, mais sans limites claires, il est presque impossible de savoir quand l'exposition normale est devenue excessive. Les seuils de tolérance constituent les limites mesurables qui séparent un risque gérable d'un risque inacceptable.

Approches de la mesure

Il existe plusieurs façons de définir et de mesurer ces seuils :

• Modèles quantitatifs

  Des cadres tels que FAIR (Factor Analysis of Information Risk) évaluent les pertes financières résultant de différents scénarios de menace, tandis que la notation des risques du NIST CSF fournit des repères normalisés pour l'évaluation de la maturité. 

  Les simulations de Monte Carlo ajoutent une couche supplémentaire en modélisant des milliers d'issues possibles pour révéler les fourchettes de pertes probables. Ces méthodes fournissent aux dirigeants des données qu'ils peuvent traduire directement en termes financiers et en impact sur l'activité.

• Méthodes qualitatives

  Les cartes thermiques et les évaluations de la gravité restent utiles pour les discussions de haut niveau, en particulier avec les parties prenantes non techniques. Cependant, ils manquent souvent de la précision nécessaire pour guider l'allocation du budget ou pour démontrer la responsabilité au niveau du conseil d'administration.

Pourquoi le contrôle continu est-il important ?

La définition des seuils n'est pas un exercice ponctuel. La tolérance au risque doit évoluer en même temps que les facteurs internes et externes :

• Évolution des menaces: De nouvelles techniques, telles que le phishing piloté par l'IA ou les attaques par code QR, modifient le paysage des risques.
• Croissance de l'entreprise: L'expansion sur de nouveaux marchés, dans de nouveaux secteurs d'activité ou dans de nouvelles zones géographiques crée de nouvelles surfaces d'attaque.
• Changement de réglementation: La mise à jour des obligations de conformité exige une réévaluation de ce qui constitue une exposition acceptable.

En liant les seuils directement aux résultats de l'entreprise, tels que la perte de revenus, la perte de clients et les pénalités de conformité, les dirigeants ont une vision plus claire de la situation de l'entreprise, à savoir si elle fonctionne plus vite que prévu.

Construire un cadre moderne d'évaluation des risques

Les évaluations traditionnelles des risques mettent souvent l'accent sur l'infrastructure technique (serveurs, terminaux et défenses du réseau). Si ces éléments restent essentiels, la résilience aux ransomwares nécessite aujourd'hui une perspective plus large, à l'échelle de l'entreprise. Les cadres efficaces doivent intégrer les personnes, les processus et les tiers afin de fournir une vision réaliste de l'exposition globale.

Éléments d'un examen holistique

Un cadre moderne prend en compte plusieurs niveaux de l'organisation :

1. Identifiez les actifs critiques: Allez au-delà du matériel et incluez la propriété intellectuelle, les données des clients, les systèmes financiers et les applications SaaS. Ce sont les actifs les plus susceptibles d'être ciblés et les plus coûteux à perdre.
2. Définissez des scénarios de menace: Dressez la liste des vecteurs d'attaque potentiels, du phishing au ransomware en passant par l'abus d'initiés, la compromission de la chaîne d'approvisionnement et les erreurs de configuration les plus courantes. Cela permet de s'assurer que les évaluations reflètent à la fois les menaces externes et les vulnérabilités internes.
3. Évaluez l'efficacité des contrôles: Examinez non seulement les mesures de protection techniques, mais aussi les processus organisationnels et les comportements des employés. Un environnement de contrôle techniquement solide peut néanmoins échouer si les processus sont mal définis ou si les employés ne sont pas impliqués dans les pratiques de sécurité.
4. Incorporez le risque étendu: Les fournisseurs, les sous-traitants et les partenaires disposent souvent d'un accès privilégié aux systèmes et aux données. Les inclure dans les évaluations permet de saisir les interdépendances qui servent souvent de points d'entrée aux ransomwares.

En considérant le risque sous cet angle, les dirigeants peuvent mieux comprendre comment les différents facteurs interagissent et créent une exposition dans l'ensemble de l'entreprise.

Outils et données nécessaires

Les cadres modernes dépendent d'outils et de données qui fournissent un aperçu en temps réel des dimensions techniques et humaines du risque :

• Plateformes SIEM et SOAR pour la corrélation des logs et la réponse automatisée.
• Gestion de la surface d'attaque pour identifier les actifs exposés.
• L'analyse des risques humains pour mesurer les vulnérabilités comportementales parallèlement aux vulnérabilités techniques.

La collecte automatisée de preuves renforce encore la préparation à l'audit et démontre la conformité avec des cadres tels que GDPR, HIPAA et PCI DSS.

Mesures prises par les dirigeants pour réduire les risques excessifs

Pour réduire les risques, il faut aligner la technologie, la gouvernance et la culture.

Renforcer les contrôles techniques

• Adopter une architecture de confiance zéro pour limiter la confiance implicite entre les systèmes et les utilisateurs.
• Renforcez la gestion des identités avec une authentification multifactorielle forte et l'application du principe de moindre privilège.
• Déployez une sécurité avancée de la messagerie et de la collaboration pour intercepter les ransomwares à leurs points d'entrée les plus courants.
• Mettez en œuvre la prévention des pertes de données et maintenez des sauvegardes fiables et immuables.

Améliorer la gouvernance et la responsabilité

• Allouez les budgets en fonction de la hiérarchisation des risques et non d'une répartition uniforme.
• Utilisez des tableaux de bord d'indicateurs clés de performance et d'indicateurs clés de risque pour donner aux conseils d'administration une vision claire de la cyberposture.
• Intégrer la responsabilité des risques dans les tableaux de bord et les plans de rémunération des cadres.

Favoriser une culture de la résilience

• Promouvoir une appropriation commune des cyber-risques par les différentes unités opérationnelles.
• Organiser régulièrement des exercices de simulation et mettre à jour les manuels de jeu pour tenir compte des nouvelles menaces.
• Reconnaître que le comportement des employés n'est pas une préoccupation secondaire, mais un facteur de risque central.

Intégrer la gestion des risques humains

L'erreur humaine est aujourd'hui à l'origine de la majorité des violations, 80% des organisations citant le comportement négligent ou imprudent d'un employé comme un point d'exposition critique. Pour y remédier, il faut plus que de la formation, il faut de la visibilité et une gestion mesurable.

L'approche intégrée de Mimecast

La plateforme de gestion des risques humains de Mimecast offre :

• L'évaluation comportementale: Identifie les employés à haut risque sur la base d'actions réelles, et pas seulement sur la base des résultats des tests.
• Formation adaptative: Elle permet de dispenser une formation spécifique au contexte et adaptée aux profils de risque individuels.
• Alertes intégrées: Alimente les systèmes SIEM et SOAR en données sur les risques humains, ce qui accélère les temps de réponse.

En combinant la veille sur les menaces et l'analyse comportementale, les entreprises peuvent identifier les points d'exposition les plus risqués et intervenir avant que les ransomwares ne s'installent.

Le risque humain, facteur déterminant de la cyber-résilience

Chaque entreprise fixe des limites au risque qu'elle peut tolérer, mais les ransomwares ont montré que l'exposition la plus importante provient souvent des personnes, et non des lacunes technologiques. La mesure et la gestion du comportement humain sont désormais aussi essentielles que l'application de correctifs aux systèmes ou le déploiement de pare-feu.

Les organisations qui considèrent le risque humain comme un paramètre essentiel de leur activité - et non comme une réflexion après coup - acquièrent un avantage décisif. Grâce à l'évaluation comportementale en temps réel, à la formation adaptative et à la veille intégrée sur les menaces, Mimecast aide les responsables de la sécurité à combler le fossé entre l'appétit pour le risque et l'exposition réelle.

Les entreprises qui réussiront seront celles qui lieront directement la gestion des risques humains à la stratégie, à la gouvernance et à la résilience. 

Demandez une démonstration de la plateforme de gestion des Human Risk de Mimecast pour voir comment vous pouvez mettre cet alignement en pratique.