CISO, communiquez ! Com-mu-ni-quez !
Après une attaque, plus de 95 % des CISO ont reçu un soutien accru du conseil d’administration. Communiquez, conseille Trellix aux CISO. Il est temps de s’éloigner de la mentalité « attendre et réagir ».
« Maintenez le contact, communiquez davantage avec votre conseil d’administration. C’est, pour moi, la chose la plus importante à faire en tant que CISO. Et, surtout, entretenez cette relation ! »
Bryan Palma, CEO, Trellix, analyse ainsi l’étude “Mind of the CISO: Behind the Breach” : de nombreux conseils d’administration ne sont prêts à soutenir la cybersécurité qu’après une attaque. « De toute évidence, ce devrait être l’inverse ! »
Les CISO restent réactifs jusqu’à ce que les conseils d’administration deviennent proactifs. 95 % d’entre eux (étude réalisée par Vanson Bourne ; un millier de CISO interrogés) ne reçoivent davantage de soutien de la part du conseil d’administration qu’à la suite d’une attaque. 46 % reçoivent alors un budget accru pour des technologies supplémentaires, 42 % révisent leur stratégie de sécurité globale, 41 % mettent en œuvre de nouveaux cadres et normes et 38 % créent de nouveaux emplois et responsabilités après une attaque. « Le plus grand apprentissage est que la prise de conscience a dû être sensibilisée au niveau du conseil d’administration… malheureusement, il a fallu un incident pour y parvenir ! »
Les conséquences entraînant des coûts évidents, telles que la perte de revenus et l’augmentation des primes d’assurance, n’ont pas été signalées comme ayant le plus grand impact. Au lieu de cela, les principaux impacts incluent la perte de données (42 %), un stress important pour leurs équipes SecOps (41 %) et une réputation en déclin (39 %), qui sont les principaux facteurs ayant un impact négatif sur leurs organisations.
Imprévisibilité
« Le fait d’avoir été victime d’un cyber-incident a renforcé le concept selon lequel nous devons être toujours vigilants. Peu importe le niveau de sécurité que nous pensons avoir obtenu, quel que soit le nombre d’outils dont nous disposons, c’est une bataille constante », commente le CISO d’une entreprise manufacturière.
Le rapport nous apprend encore que les CISO sont confrontés au défi de lutter contre des attaques de plus en plus sophistiquées et diversifiées. Les attaques de vol de données (48 %), les logiciels malveillants (43 %), les attaques DDoS (37 %), le vol d’informations d’identification (37 %), la compromission de la messagerie professionnelle (37 %) et les ransomwares (37 %) dominent le paysage des menaces, signalant qu’aucun un seul type d’attaque est plus répandu qu’un autre.
Cette imprévisibilité souligne la nécessité d’une stratégie de défense globale et proactive. Les organisations doivent renforcer leurs défenses de manière globale, en faisant face à chaque menace avec la même gravité. La création d’un système de défense dynamique et résilient contre l’ensemble du spectre des cybermenaces doit remplacer la prévision d’attaques spécifiques.
Dévoiler les coûts cachés
Pour Bryan Palma, il est temps, aussi, de dévoiler les coûts cachés -stress, perte de données et atteinte à la réputation- qui façonnent les stratégies de cybersécurité des CISO après une faille.
41 % des CISO attirent l’attention sur le stress du personnel des SOC. Ils sont surchargés, ce qui entraîne des risques de sécurité accrus. En cause, une réactivité réduite, une augmentation des erreurs et un épuisement dû au turnover. Autre coût important -pas toujours bien identifié- la perte de données. Elle perturbe les opérations de l’entreprise.
Après une attaque, 39 % des personnes interrogées ont reconnu que l’atteinte à la réputation représentait un coût plus important pour l’entreprise. « Même si les clients ou les entreprises disent : ‘Tout va bien, vous avez très, très bien géré la situation’, une question fondamentale se pose : ‘Comment pouvons-nous compter sur cette organisation ?’ ou ‘Et si cela se reproduisait ?’ Comprendre ces coûts nuancés met en évidence la nécessité pour les CISO de s’engager dans des discussions de haut niveau, conclut Bryan Palma. Les coûts transcendent les implications financières et ont un impact significatif sur l’entreprise. Donc : communiquez, com-mu-ni-quez !»
