Boulette : ces entreprises piratées avaient des plans de secours. Mais ils n’étaient pas imprimés

Spread the love
Boulette : ces entreprises piratées avaient des plans de secours. Mais ils n'étaient pas imprimés

Les conseils d’administration ne prennent toujours pas la cybersécurité au sérieux, ce qui rend les organisations vulnérables aux cyberattaques. Selon Lindy Cameron, la nouvelle directrice du Centre national de cybersécurité (NCSC) – l’équivalent de l’Anssi au Royaume-Uni, les dirigeants ne s’y intéressent qu’après que les choses aient mal tourné.

“Ce que nous voulons que les organisations apprennent, c’est le genre de menace à laquelle elles doivent penser. C’est le genre de chose qui devrait faire partie des conversations sur les risques dans les salles de conseil d’administration au même titre que le risque juridique ou le risque financier – le PDG devrait voir le RSSI aussi souvent que le directeur financier”, a déclaré Mme Cameron. Selon elle, il ne devrait pas s’agir d’une simple conversation technique avec le département informatique, mais d’une conversation qui se déroule dans la salle du conseil elle-même.

“Je veux que les organisations apprennent à quel point l’impact peut être grave lorsque cela se passe mal”, a déclaré Mme Cameron. Et même si une organisation pense avoir mis en place un plan, les choses peuvent toujours mal tourner. “J’ai parlé à des organisations qui sont arrivées le lundi matin pour constater qu’elles ne pouvaient pas allumer leurs ordinateurs ou leurs smartphones, que le plan de secours n’avait pas été imprimé et qu’elles ne pouvaient pas trouver de numéro de téléphone”, a déclaré M. Cameron.

publicité

Eviter la discussion technique

“Il ne fait aucun doute que les organisations qui en ont fait l’expérience ont un sens beaucoup plus viscéral de ce que l’on ressent lors d’une attaque par ransomware ou d’une cyberattaque, et elles sont donc mieux préparées à cela”, a ajouté M. Cameron.

Dans le même temps, les conseils d’administration devraient être impliqués dans la planification des mesures d’urgence contre les cyberattaques. Ils seront plus à même de comprendre les menaces potentielles si elles sont abordées non pas comme un problème technique, mais comme un problème de risque, de la même manière que pour les risques financiers ou juridiques. “C’est la même chose que tout plan d’urgence. Cela vaut la peine de réfléchir au pire scénario possible, à ce qui pourrait mal tourner et que vous devez gérer”, ajoute-t-elle.

Ce pire scénario possible dépend de l’organisation ; il peut s’agir d’une violation des données, d’une interruption des services ou d’une perturbation des systèmes cyber-physiques. Mais l’important est que les organisations réfléchissent aux cyberrisques existants et qu’elles disposent d’un plan de défense et d’atténuation. Si cela se produit, l’aide pratique d’organismes comme l’Anssi ne sera pas nécessaire, car de solides stratégies de cybersécurité sont en place.

Source : “ZDNet.com”

Leave a Reply