La gestion du risque cyber est essentielle à une bonne hygiène de sécurité

Une approche plus pragmatique

Pour Freese, essayer de pousser les dirigeants à l’action par la peur n’est pas efficace. Au lieu de cela, les professionnels de la sécurité doivent identifier et mesurer les risques qui pèsent sur leur organisation et déterminer ceux qui sont les plus pressants et ne nécessitent qu’une portion des ressources limitées de celle-ci pour être contenus : « c’est la manière dont on échange avec le monde des affaires. Nous voulons parler d’un accroissement de la rigueur dans la manière dont est géré le risque ».

Alors pour lui, la gestion du risque cyber commence avec la distinction, par les équipes de sécurité, entre risque et menace. Las, selon lui, « souvent, on confond les deux, ce qui tend à appréhender chaque risque concevable comme une menace imminente ».

Selon Freese, « ce n’est tout simplement pas une bonne façon de communiquer sur ce que l’on essaie de faire. Cela n’aide pas hiérarchiser nos ressources contre les menaces ». Pour lui, cela rend le message confus et donne l’impression de « crier au loup ».

Afin d’éviter cela, il convient de faire la part des choses entre les menaces possibles (quasiment tout, reconnaît-il), et celles qui sont probables. Ces dernières représentant, selon Freese, un éventail bien plus restreint et gérable. Et tout cela doit se faire en analysant les intentions et les capacités des acteurs malicieux potentiels, la fréquence d’occurrence de la menace, et l’impact potentiel d’une attaque réussie.

« Si l’on démarre la conversation avec non seulement la probabilité d’une menace, tout en décrivant sa fréquence et l’ampleur des impacts en fonction des intentions et des capacités, alors on s’inscrit dans une logique bien plus compréhensible », estime Freese. Mais il reconnaît néanmoins que l’exercice est « difficile ». C’est pour cette raison « que l’on ne fait pas encore ».

La cyberassurance : pas encore la réponse

Dunlap a interrogé Freese sur la croissance du marché de l’assurance contre le risque cyber et si elle est susceptible d’aider les organisations à mieux gérer ce dernier. Mais pour l’assistant adjoint au directeur du FBI, « la cyberassurance ne s’est pas encore installée comme un mécanisme réelle robuste. Mais c’est surtout parce que l’on ne mesure pas encore très bien les risques ».

Toutefois, il relève que les actuaires d’assurance travaillent sur la question : « plusieurs groupes actuariels se penchent sur le risque cyber pour le mesurer d’une façon quantifiable à de pures fins d’assurance ».

Pour autant, selon Freese, les entreprises doivent commencer à avancer dans l’élaboration de plans de gestion du risque cyber. Dans ses fonctions au FBI, il a été amené à travailler avec des entreprises du monde entier pour répondre aux problèmes et menaces de cybersécurité. Et selon lui, les entreprises qui réussissent et échappent aux gros titres sur les brèches de sécurité ont toutes une chose en commun : « elles gèrent le risque d’une manière très mesurable, très incrémentale, et très consistante. Elles savent ce qui se passe sur leurs réseaux et savent quels types de données elles manipulent ».