La tolérance plutôt que la rigidité. Pour Gartner, la résilience passe par ce que ses analystes nomment la « Cyber Fault Tolerance ». Les CISO s’ont-ils prêts à l’entendre ?
Pour Dennis Xu, VP Analyst, Gartner, la « Cyber Fault Tolerance » impose un changement d’état d’esprit. « Les CISO gèrent davantage par l’adrénaline. C’est une erreur. A terme, la position n’est pas tenable. C’est juste bon pour s’effondrer. Au contraire, les CISO doivent faire preuve de résilience par l’intention. »
Tel fut le principal message lors du Gartner Security & Risk Management Summit, qui s’est tenu à National Harbor, dans le Maryland. « Autant l’industrie a fait des progrès incroyables en matière de prévention, autant la réponse et la reprise restent des muscles sous-développés en raison de l’objectif. La tolérance zéro quasi imposée par l’industrie pousse à l’échec, renchérit Christopher Mixter, VP Analyst, Gartner. A une époque où les cyberattaques réussies augmentent en volume et en impact malgré les cyber-investissements préventifs, c’est l’approche qu’il faut revoir. Et, donc, clairement, développer la tolérance aux cyber-fautes, rationaliser à un ensemble d’outils cyber efficaces minimum et bâtir une cyber-force résiliente. »
S’adapter, réagir et se remettre
Concrètement, il est possible d’intégrer le principe de la « Cyber Fault Tolerance » rapidement, estime Gartner. Dans un premier temps, le cabinet conseille de se concentrer sur deux domaines d’activité où les mesures préventives de cybersécurité sont visiblement sous-performantes : la genAI et le recours à des tiers.
« Pour une technologie en évolution rapide comme la genAI, il est impossible de prévenir toutes les attaques à tout moment. Aussi, la capacité à s’adapter, à réagir et à se remettre des problèmes inévitables est essentielle. »
Concernant la gestion des risques de cybersécurité liés aux tiers, quels que soient les efforts de la fonction cybersécurité, tout indique que les organisations continueront de travailler avec des tiers à risque. Le véritable impact de la cybersécurité ne réside pas dans le fait de poser davantage de questions de diligence raisonnable, mais dans la garantie que l’entreprise a mis en place des plans de continuité d’activité documentés et testés par des tiers.
« Les CISO devraient guider les sponsors des partenaires tiers dans la création d’un plan d’urgence formel, comprenant des éléments tels qu’une stratégie de sortie, une liste de fournisseurs alternatifs et des manuels de réponse aux incidents, explique Christopher Mixter. Les CISO contrôlent tout le reste. Il est temps d’introduire des exercices théoriques dans la gestion des cyber-risques tiers. »
Ensemble d’outils efficaces minimum
Le principe de « Cyber Fault Tolerance » inclut les équipements. Beaucoup ont dé passé leur date de péremption. En même temps, note Dennis Xu, elles sont tout aussi nombreuses à ajouter de nouveaux outils sans pleinement comprendre le coût supplémentaire et la complexité de gestion que ces derniers entraînent. « Les CISO doivent briser le cycle du syndrome d’acquisition de matériel qui inhibe leur capacité à prospérer. Trop de solutions ! Trop d’outils ! Mieux vaut privilégier ceux qui permettront d’observer, défendre et réagir. »
Une approche « Cyber Fault Tolerance » consistera à identifier les redondances et les lacunes en mappant l’ensemble d’outils en place. A envisager, aussi, les risques de déploiement, et pas seulement des fonctionnalités des fonctionnalités. « L’héroïsme a vécu, enchaîne Christopher Mixter. Pour créer une main-d’œuvre cyber-résiliente, les CISO doivent revenir à plus de sagesse. »
Cybersécurité augmentée
Déjà, pour commencer, réorganiser le travail pour réduire l’épuisement professionnel : inciter les employés à comprendre où ils rencontrent des frictions dans leur travail, réduire les goulots d’étranglement et tirer parti de l’automatisation pour libérer les gens et leur permettre de concentrer leur énergie sur des activités qui l’exigent réellement.
Ensuite, permettre aux employés d’obtenir facilement le soutien dont ils ont besoin : cela inclut l’intégration des soins personnels dans les flux de travail des employés, comme des conseils et des exercices de décompression lors d’incidents actifs.
Egalement, partager des histoires d’échec/d’apprentissage : les CISO doivent donner l’exemple ; être les premiers à partager des exemples de moments où ils n’ont pas atteint leurs objectifs et ce qu’ils ont appris de ces expériences.
Dans un récent rapport sur le sujet, Gartner parle de « cybersécurité augmentée ». C’est tout dire !