9 titres chauds du premier trimestre en matière de cybersécurité, de gestion des risques et de gouvernance des données

Quelles sont les principales actualités de ce trimestre dans le monde en constante évolution de la GRC ?

Précautions à prendre par les entreprises en matière de cybersécurité

Quels sont les sujets les plus importants et les plus intéressants dans le monde en constante évolution de la cybersécurité, de l'atténuation des risques et de la gouvernance de l'information ?

Il est plus difficile que jamais de restreindre le champ, car le monde évolue très rapidement. Mais nous allons faire de notre mieux en vous proposant 9 articles qui ont retenu notre attention ce trimestre, un mélange intéressant d'articles sur la GRC et la cybersécurité qui montrent combien de forces et de tendances différentes sont à l'œuvre dans le monde entier.

> Employés et cybercriminalité sur les réseaux sociaux ? Elle coûte des milliards aux entreprises

Une entreprise sur cinq a été infectée par des logiciels malveillants distribués via les médias sociaux, et la cybercriminalité basée sur les médias sociaux génère au moins 3,25 milliards de dollars de revenus annuels mondiaux pour les malfaiteurs, selon une étude approfondie réalisée par un éminent universitaire de l'Université de Surrey.

L'une des menaces les plus importantes est le cryptojacking, qui consiste à détourner les ordinateurs d'employés ou de particuliers pour effectuer des opérations de cryptomining, et qui a dépassé le ransomware en tant que principale menace pour les systèmes informatiques des particuliers et des entreprises.

Quatre des cinq premiers sites web mondiaux hébergeant des codes de cryptomining sont des sites de médias sociaux, et ces sites contiennent jusqu'à 20 % de méthodes de diffusion de logiciels malveillants de plus que les sites de commerce électronique, de médias numériques ou d'entreprises. Il est donc plus que jamais indispensable de disposer d'une solution solide de gestion de la politique des médias sociaux dans le cadre de votre stratégie de cybersécurité.

> La Russie prend-elle des mesures contre les cybercriminels ou protège-t-elle les siens ?

Le gouvernement russe a prononcé de lourdes peines à l'encontre d'un ancien chef de ses opérations de cyberespionnage et d'un cadre de Kaspersky Labs. La "trahison" dont ils ont été reconnus coupables est la véritable source de mécontentement. Les organisations de presse et les observateurs affirment que les deux hommes sont punis pour avoir informé les responsables du renseignement américain sur les responsables des activités de piratage russe qui ont entouré l'élection présidentielle américaine de 2016.

Kapersky est l'une des principales sociétés de cybersécurité au monde, bien sûr, et le fournisseur d'outils tels que sa carte hypnotique (et effrayante) des cybermenaces en temps réel. Si la définition russe de la "trahison" s'étend aux professionnels de la sécurité qui coopèrent avec les forces de l'ordre étrangères, cela pourrait avoir un effet dissuasif sur la future coopération transfrontalière dans la lutte contre la cybercriminalité. C'est en tout cas ce qui risque de se produire lorsque l'un des pays en question semble suivre son propre programme nationaliste en matière de cybersécurité.

> Les violations de données dans le secteur des services financiers au Royaume-Uni ont augmenté de 480 % en 2018

Vous avez bien lu. Selon un nouveau rapport (payant) du Financial Times, les pirates informatiques se sont attaqués aux entreprises de services financiers du Royaume-Uni. Les données de la Financial Conduct Authority du pays indiquent que les violations de données ont été multipliées par cinq dans les entreprises de services financiers l'année dernière.

"Les entreprises ont signalé 145 violations à la FCA l'année dernière, contre 25 en 2017, les banques d'investissement ayant signalé le plus grand nombre d'incidents, soit 34, contre seulement trois l'année précédente."

Cybersécurité

L'étude laisse entendre que les cybercriminels s'attaquent aux banques d'investissement parce qu'ils ont l'impression que leurs mesures de sécurité sont inférieures à celles des banques de détail. Les types de données stockées par les banques d'investissement sont potentiellement plus lucratives ; les données relatives aux fusions et acquisitions, par exemple, pourraient être exploitées pour des transactions internes.

D'autres domaines ont connu une augmentation sensible des signalements de violations de données dans le secteur FinServ ?

  • Les assureurs ont signalé 33 violations en 2018, contre sept en 2017.
  • Les sociétés de crédit à la consommation ont signalé 21 violations en 2018, contre quatre l'année précédente.
  • Les entreprises d'investissement de détail ont connu 11 brèches en 2018, contre aucune en 2017.

Y a-t-il des points positifs ? Certains pensent que ce bond est plutôt le signe que l'arrivée du GDPR et une plus grande sensibilisation aux cybermenaces ont amélioré le niveau de déclaration des entreprises de services financiers. Ce n'est peut-être pas une coïncidence si c'est en juin 2018, premier mois d'application du GDPR, que le nombre total de signalements de violations a été le plus élevé.

> La protection de la confidentialité des données devient plus stricte en Californie

CCPA Cybersecurity GRC SignAux yeux de certains critiques, l'État d'Or est déjà une occasion en or pour les recours collectifs, grâce à son penchant pour la réglementation en matière de protection des consommateurs. Si de nouveaux amendements sur la protection des données proposée pour la loi californienne sur la protection de la vie privée des consommateurs (CCPA), Les consommateurs pourront poursuivre les géants de la technologie comme Google et Facebook s'ils estiment que leurs droits en matière de confidentialité des données ont été violés.

Les lobbyistes et les porte-parole de la Silicon Valley sont déjà sur le pied de guerre contre le projet de loi, affirmant qu'il ne profitera à personne d'autre qu'à ces avocats spécialisés dans les recours collectifs. Mais les partisans du projet de loi soulignent que des incidents tels que la débâcle de Cambridge Analytica de Facebook prouvent la nécessité d'une réglementation plus poussée.

"L'industrie technologique, de par sa nature même, s'est toujours opposée à toute forme de réglementation", explique la sénatrice Hannah-Beth Jackson, démocrate de Santa Barbara, qui est à l'origine du projet de loi. "C'est un secteur qui a réincarné le Far West : pas de règles, pas de limites, pas de régulation. Nous avons atteint le point de basculement".

Tout comme le GDPR a été considéré comme un modèle pour d'autres réglementations, le CCPA est considéré par d'autres États américains comme un modèle pour leurs propres lois sur la confidentialité des données ; Washington, par exemple. Tel qu'il est rédigé, le CCPA est en fait plus large que le GDPR. Les entreprises qui se sentent à l'aise avec le GDPR risquent donc d'avoir un réveil brutal si elles ne respectent pas le CCPA.

> Les autorités de régulation américaines se montrent plus strictes en matière de conformité à la cybersécurité

Il ne suffit pas de mettre en place un programme de conformité en matière de cybersécurité. Aux yeux de nombreux régulateurs américains, ce programme doit répondre à des normes plus strictes, faute de quoi les sanctions qu'ils imposeront peuvent s'accumuler.

Sanction réglementaireUn exemple concret : Le 25 janvier, la North American Electric Reliability Corporation (NERC) a demandé à la Federal Energy Regulatory Commission (FERC) d'approuver un règlement lourdement caviardé impliquant une amende record de 10 millions de dollars contre "une entreprise de services publics non identifiée" en raison de violations des normes de protection des infrastructures critiques (CIP) pendant plusieurs années.

Bien que la compagnie ait mis en place un programme de conformité interne à l'époque, le NERC l'a jugé insuffisant en raison d'un manque de soutien et de responsabilité de la part de la direction, d'une surveillance, d'une documentation et d'une formation insuffisantes, et de cloisonnements organisationnels qui ont entraîné un manque de communication et de la confusion.

En d'autres termes ? Elles ont été mises en cause pour les mêmes facteurs que ceux présents dans un trop grand nombre d'autres entreprises. Ces manquements augmentent sérieusement le risque d'un coup dur réglementaire similaire si le contrevenant opère dans un secteur fortement réglementé comme les services financiers ou les soins de santé. Il estdonc absolument nécessaire d'instaurer une cultureactive de la conformité.

> Le "Formjacking" est en vogue chez les cyber-escrocs

Un nouveau rapport de Symantec sur la cybersécurité explique comment le "formjacking", c'est-à-dire "l'utilisation d'un code JavaScript malveillant pour voler les données des cartes de crédit et d'autres informations des formulaires de paiement sur les pages de paiement des sites de commerce électronique", constitue un nouvel attrait pour les cybercriminels. Les données de Symantec montrent que 4 818 sites web ont été compromis par un code de détournement de formulaire chaque mois de l'année dernière. Le vol de seulement dix cartes de crédit de cette manière pourrait rapporter aux escrocs jusqu'à 2,2 millions de dollars par mois.

Les piratages qui ont frappé de grandes entreprises comme British Airways et Ticketmaster font la une des journaux, mais Symantec affirme que les petits et moyens détaillants, des vêtements aux équipements de jardinage, sont également souvent victimes de ces attaques. "Il s'agit d'un problème mondial susceptible d'affecter toutes les entreprises qui acceptent des paiements en ligne de la part de leurs clients", indique le rapport.

> Les lieux de travail réservés aux femmes se multiplient en réponse à #MeToo

Pour certaines entreprises et certains entrepreneurs, il existe un moyen de limiter les plaintes pour harcèlement sexuel et préjugés sexistes. C'est simple : Supprimer les hommes.

Autocollant réservé aux femmes

Un nombre croissant d'espaces de travail réservés aux femmes et axés sur les femmes se sont établis à travers les États-Unis. Certains ont été créés avant que #MeToo ne prenne feu, mais ils ont certainement bénéficié du mouvement. Ils ont également profité du désir des travailleuses de créer des environnements de travail favorables qui s'écartent nettement des cultures d'entreprise traditionnelles.

La question se pose de savoir dans quelle mesure cette démarche sera couronnée de succès. D'autant plus que l'atténuation d'un type de risque a créé une autre source d'exposition qui a pris la place des plaintes pour harcèlement sexuel : Des procès pour discrimination sexuelle ont été intentés par des hommes à l'encontre de certaines de ces opérations, ce qui a obligé à modifier les politiques d'adhésion dans au moins un cas.

> À l'ère de #MeToo, les entreprises se tournent vers des sociétés de gestion de la réputation.

Alors que le mouvement #MeToo continue de rouler, avec des démonstrations récentes très notables de sa portée, les entreprises sont de plus en plus préoccupées par leur potentiel d'atteinte à la réputation et d'exposition aux réclamations #MeToo. Selon une étude de CNBC, environ 30 % des rapports annuels 2018 des entreprises mandatées par la Securities and Exchange Commission (SEC) des États-Unis incluaient le "risque de réputation" parmi leurs facteurs de risque en 2018.

Elles se tournent donc vers des consultants en gestion de la réputation qui analysent en profondeur la direction et la culture d'une entreprise, identifient les problèmes de harcèlement sexuel et recommandent des moyens de les résoudre avant qu'ils ne soient portés à la connaissance du public. Parfois, cela implique de renvoyer les cadres supérieurs.

Les entreprises sont confrontées à des responsabilités juridiques accablantes en cas de mauvaises pratiques et n'y sont pas préparées. Les plaintes pour harcèlement sexuel sur le lieu de travail ont bondi de plus de 12 % au cours de l'exercice 2018, selon la Commission américaine pour l'égalité des chances en matière d'emploi (EEOC). L'EEOC a récupéré 70 millions de dollars auprès des entreprises pour les victimes de harcèlement sexuel en 2018, contre 47,5 millions de dollars en 2017.

> Le "risque de fatigue", un danger qui touche 9 employeurs américains sur 10

Le risque pour les employés prend d'autres formes que la cybersécurité ou le harcèlement sexuel. Une autre source ? La fatigue. C'est du moins ce qu'affirme le National Safety Council (NSC), qui affirme que 90 % des employeurs américains ont subi les conséquences négatives de la fatigue de leurs employés.

En fait, 43 % des employés ayant participé à l'étude ont admis qu'ils étaient peut-être trop fatigués pour travailler en toute sécurité, ce qui fait de la fatigue un risque croissant sur le lieu de travail. La NSC a lancé un appel à tous les employeurs du pays pour qu'ils mettent en œuvre des systèmes complets de gestion des risques liés à la fatigue, qui peuvent contribuer à prévenir les 13 % d'accidents du travail imputés à des problèmes de sommeil.

Le coût cumulé ? La fatigue coûte à l'économie américaine plus de 400 milliards de dollars par an. Une entreprise de 1 000 employés peut s'attendre à perdre plus d'un million de dollars par an en jours de travail manqués, en baisse de productivité et en augmentation des coûts des soins de santé.

Comment les programmes de gestion des risques liés à la fatigue relèvent-ils ce défi ? En combinant l'éducation et la formation des employés avec un changement de culture, des modifications du lieu de travail et des analyses fondées sur des données afin de reconnaître et de résoudre les problèmes.