Les entreprises sont plus que jamais vulnérables aux cyberattaques de haut niveau dont les suites peuvent ralentir leurs activités, causer d’importantes pertes financières et nuire à leur réputation. Dans ce contexte, les dirigeants et conseils d’administration sont les premiers dépositaires des stratégies de cybersécurité de leur entreprise. En outre, en cas de cyberattaque, la responsabilité des dirigeants peut être engagée et donner lieu à de graves conséquences, comme dans le cas de la banque centrale du Bangladesh, avec la démission de son gouverneur Atiur Rahman. Au sein de ces comités de direction, les Chief Information Security Officers (CISO) doivent être entendus et sont responsables de la mise en oeuvre des stratégies à tous les niveaux de l’entreprise.

Comme le rappelle le dernier rapport publié par Mandiant, la compromission des comptes à privilèges est l’un des dénominateurs communs de la plupart de ces cyberattaques. Ces accès aux comptes administrateurs permettent aux pirates chevronnés d’accéder au réseau d’une entreprise et à ses données. Toutefois, malgré une communication accentuée sur l’importance d’identifier et de sécuriser ces comptes, ils restent encore méconnus des hautes sphères des entreprises. L’initiative CISO View, soutenue par CyberArk, a collecté auprès de CISO issus de 1 000 entreprises mondiales, les principaux conseils et les trois meilleures pratiques pour le développement de programmes de cybersécurité à l’attention des plus hauts dirigeants de l’entreprise, afin de les guider dans le développement de leur stratégie.

Dans un premier temps, il s’agit de trouver le bon compromis entre sécurité et besoins commerciaux pour déterminer la stratégie la plus adaptée et assurer la productivité de l’entreprise. Pour ce faire, une collaboration étroite entre les responsables des deux parties permettra de comprendre la manière dont les identifiants sont utilisés, ainsi que les besoins associés. Ces connaissances seront alors intégrées à la configuration des mécanismes de contrôle. Ainsi, partant du principe que le nombre de comptes à privilèges au sein d’une organisation dépasse généralement de trois à quatre fois le nombre d’employés, la priorité doit être mise sur les comptes qui donnent des accès privilégiés aux systèmes les plus critiques de l’entreprise, et l’évaluation des risques en continu. Cela induit ensuite une mise en place de couches de prévention et de détection complémentaires pour stopper les activités non autorisées et découvrir en temps réel toute activité malveillante ou accidentelle.

Par ailleurs, le CISO doit garantir la coopération des dirigeants de l’entreprise et favoriser ainsi une politique de changement pérenne à travers un programme d’éducation et de compréhension des problématiques de cybersécurité. Afin de gagner le soutien des autres membres du comité de direction et les sensibiliser à ces questions, les CISO doivent rappeler le rôle clé des comptes à privilèges dans les cyberattaques en s’appuyant sur les analyses des compromissions publiées dans les médias. Ces débats permettront de consolider l’application de la stratégie définie avec la direction.

Enfin, partant du constat établi par le cabinet Grant Thornton que les cyberattaques coûtent en moyenne 1,2 % du chiffre d’affaires aux entreprises victimes, les CISO doivent s’appuyer sur des résultats tangibles en termes de bénéfices ou de pertes pour mener à bien leur mission de sensibilisation. Pour ce faire, ils peuvent mettre en place des indicateurs de mesure des résultats commerciaux et des performances de sécurité afin que leurs arguments trouvent leur écho auprès de leurs pairs au sein du Codir, grâce aux résultats et aux potentiels impacts sur le chiffre d’affaire de l’organisation.

Associés aux risk managers — dont ils assurent parfois le rôle —, les CISO sont les seuls membres de la direction à connaître les rouages de la sécurité. Il leur incombe donc de partager les bonnes pratiques avec les autres décideurs et de les avertir notamment des menaces pesant sur les vols d’identifiants et l’exploitation des comptes à hauts pouvoirs. En s’appuyant sur des données tangibles et des calculs de risques qui résonnent aux oreilles des autres membres du Codir, ils en recevront l’aval et auront les moyens de mener à bien la stratégie de cybersécurité de l’entreprise.

Jean-François Pruvot

Regional Director France chez CyberArk