swissVR Monitor : Beaucoup d’entreprises semblent ne pas vraiment comprendre la nécessité d’agir en matière de cyberrésilience jusqu’à ce qu’elles soient victimes d’une cyberattaque. Les entreprises sous-estiment-elles ou occultent-elles souvent les cyberrisques ?
Sonja Stirnimann : Je constate que cette thématique est encore trop souvent réservée aux responsables informatiques et n’est pas vraiment considérée comme un pilier stratégique. Et ce, à tort selon moi car elle revêt une importance considérable dès lors qu’il s’agit de protéger les actifs, la réputation et la capacité d’action des entreprises et de leurs décideurs. La cyberrésilience est l’un des principaux avantages concurrentiels d’une entreprise (et de ses décideurs) ; cette perspective est, elle aussi, encore trop peu prise en compte de nos jours au moment de définir des mesures préventives dans le but de parer aux situations d’urgence.
Je ne me permettrais pas de juger s’il s’agit d’un refoulement conscient ou d’une mauvaise estimation, mais il est humain d’éviter les sujets que l’on ne maîtrise pas encore vraiment. Cette attitude (inconsciente) peut entraîner des conséquences fatales dans le domaine de la cyberrésilience. Si nous examinons maintenant la question sous l’angle de la responsabilité du conseil d’administration, il est indispensable de lui accorder toute l’attention nécessaire
swissVR Monitor : Quel rôle le facteur (de risque) humain joue-t-il dans la cyberrésilience ?
Sonja Stirnimann : Contrairement à la résistance, qui touche beaucoup plus les thèmes liés à la sécurité informatique, l’infrastructure informatique et les dispositifs de défense, y compris le monitoring, la résilience d’une entreprise est essentielle lorsqu’il s’agit de savoir à quelle vitesse et sous quelle forme nous sommes à nouveau en mesure d’agir pour nos parties prenantes.
Il n’est pas rare que la capacité d’action soit gravement menacée. Celle-ci dépend fortement de la réaction des décideurs dans ces situations souvent exceptionnelles. Tous les décideurs, et donc leur entreprise, ne sont pas tous préparés avec professionnalisme à de telles situations d’urgence. Cette capacité d’action doit être également assurée au niveau du conseil d’administration et de la direction et il en va de notre responsabilité. Par ailleurs, il n’est pas non plus inutile de s’exercer à ce type de situation et d’intégrer dans le processus les connaissances en résultant afin de l’améliorer.
La cyberrésilience, au sens où nous l’entendons dans le langage courant, se réfère à la capacité d’une organisation à détecter des cyberattaques, à y réagir, à s’en remettre et à conserver sa capacité opérationnelle. Si l’on approfondit la question, il apparaît que la différence entre la résistance et la résilience est visible dans le cycle de vie des incidents cybercriminels.
La résistance se concentre sur la prévention ou le blocage des attaques afin d’éviter tout préjudice. Elle comprend la mise en œuvre de mesures de sécurité telles que les pares-feux, les systèmes de détection d’intrusion et les politiques de sécurité. Même si la résistance est primordiale, elle ne peut cependant pas garantir qu’une attaque sera totalement évitée. De nos jours, chacun d’entre nous doit considérer qu’il est continuellement soumis à des attaques. La résistance regroupe les mesures préventives de protection/minimisation des risques.
La résilience désigne la capacité d’une organisation à réagir rapidement après une attaque ou une perturbation, à se rétablir et à poursuivre ses activités. La résilience englobe la détection (detection) des attaques, la réaction rapide (reaction), la restauration des systèmes et le fonctionnement continu de l’entreprise. Elle consiste à limiter les répercussions et, donc le plus souvent les dommages engendrés par les attaques et à se rétablir rapidement, plutôt que demiser uniquement sur la prévention (résistance). Et c’est là que la capacité d’action joue un rôle essentiel.
swissVR Monitor : Les entreprises ne communiquent pas toujours ouvertement sur les cyberincidents. Comment les entreprises peuventelles se détacher de cette approche taboue et opter pour davantage de transparence ?
Sonja Stirnimann : L’univers « cyber » a au moins 40 ans. Par rapport à d’autres risques opérationnels, c’est encore un « terrain inconnu » pour de nombreux décideurs. Ce que je constate, c’est que ce sujet tabou actuel perd son caractère effrayant lorsqu’il peut être discuté dans un cadre sécurisé avec des personnes ayant la même vision à l’échelle du conseil d’administration et de la direction. Pour ce faire, comme je l’ai indiqué, un cadre protégé et une volonté d’échanger sur ses expériences et d’apprendre sont nécessaires. Dans la pratique, on constate que les responsables apprécient ces échanges qui leur permettent d’apprendre beaucoup les uns des autres. Ces discussions sont utiles surtout si elles sont intersectorielles.
swissVR Monitor : Qui est concerné par le sujet de la cyberrésilience dans l’entreprise, et à quel niveau devrait-il être traité ?
Sonja Stirnimann : Comme il ne s’agit pas encore (ou uniquement depuis peu) d’un sujet auquel sont confrontées de nombreuses entreprises, il est selon moi important de le prendre en compte au même titre que les risques opérationnels au niveau du conseil d’administration et de la direction, où ils doivent être traités. Et ce, en même temps que la cyberrésistance, qui se situe en amont de la résilience. Selon le degré de maturité de chaque entreprise et de ses organes, un délai d’apprentissage plus ou moins court est nécessaire. Le conseil d’administration et la direction doivent généralement jouer le rôle de modèles et cela vaut également en matière de cyberrésilience.
swissVR Monitor : La première action que vous recommandez aux entreprises est de sensibiliser. Qu’est-ce que cela signifie dans le cadre de la cyberrésilience ?
Sonja Stirnimann : La sensibilisation commence là où l’on parle activement d’un sujet, où l’on informe et où l’on forme à tous les niveaux hiérarchiques. Nous apprenons par le biais de cas pratiques qui sont analyséset discutés et qui peuvent nous aider à identifier nous-mêmes les risques. Cette approche requiert une ouverture d’esprit sur le sujet et la prise de conscience que nous serons tous concernés. Tôt ou tard. Souvent, ces discussions ne débutent qu’après coup, au lieu d’être préventives. Je constate qu’il y a de bons résultats – s’agissant de la protection des actifs – au sein des entreprises qui se soucient déjà en amont de ces questions stratégiques et entrepreneuriales et qui souhaitent développer et préserver leur avantage concurrentiel.
Sonja Stirnimann
Présidente du comité d’audit de la Banque cantonale de Glaris et membre du conseil d’administration d’Apiax
Économiste et experte-comptable diplômée, Sonja Stirnimann est titulaire d’un eMBA Financial Services & Insurance de la HSG et du Board of Director Diploma de l’IMD et est Certified Fraud Examiner (CFE). Experte dans les domaines de la gouvernance, du risque et de l’audit, elle intervient auprès des entreprises sur des questions d’intégrité et de gestion de crise liées à la non-conformité, la criminalité économique et la cybercriminalité. Forte d’une expérience professionnelle de plus de trois décennies, Sonja Stirnimann a travaillé pour des multinationales telles que LafargeHolcim, UBS, Deloitte et EY dans son domaine d’expertise. Elle est également membre indépendante du conseil d’administration et présidente des comités d’audit de plusieurs sociétés privées cotées en bourse. Elle enseigne dans différentes institutions, universités et associations professionnelles dans le monde ainsi que dans des entreprises d’envergure internationale. La deuxième édition de son livre Der Mensch als Risikofaktor bei Wirtschaftskriminalität. Handlungsfähig bei Non-Compliance und Cyberkriminalität a été publiée par Springer.