Le risque cyber n'est jamais nul, et sous-investir peut être une erreur critique.
Le week-end dernier, les voyageurs à travers l'Europe se sont retrouvés coincés dans de longues files d'attente et confrontés à des vols annulés en raison d'une panne des systèmes aéroportuaires. Une attaque par ransomware contre une plateforme d'enregistrement aéroportuaire largement utilisée a perturbé les systèmes automatisés d'enregistrement et d'embarquement dans certains des hubs les plus fréquentés de Londres, Berlin et Bruxelles. Les compagnies aériennes ont été contraintes de revenir à des processus manuels, des notes internes indiquant que des milliers de systèmes corrompus devaient être reconstruits manuellement.
Presque au même moment, des informations ont fait état d'une attaque contre un grand constructeur automobile britannique, qui l'a contraint à interrompre sa production et pourrait lui coûter plusieurs centaines de millions, tandis que les fournisseurs et les responsables gouvernementaux s'efforcent de gérer les répercussions plus larges de cette attaque.
Ces deux incidents mettent en évidence une réalité douloureuse : les ransomwares sont devenus un risque opérationnel quotidien pour les organisations de tous les secteurs. La question n'est plus de savoir si une attaque aura lieu, mais quand.
Le coût humain et économique des cyberperturbations
Pour les passagers et le personnel des compagnies aériennes, ces incidents aéroportuaires ont entraîné des heures de confusion et des retards dans les voyages. Pour les ouvriers d'usine, les pannes se sont traduites par des pertes d'heures de travail et de salaire. Pour les deux équipes de direction, le message est clair : les cyberincidents constituent des risques opérationnels à l'échelle de l'entreprise. Une simple défaillance logicielle ou une panne chez un fournisseur peut avoir des répercussions dans tous les secteurs et toutes les régions en quelques heures.
Ces perturbations ne nuisent pas seulement à l'entreprise directement visée ; elles ont des répercussions en cascade. Les compagnies aériennes partenaires, les fournisseurs et même les gouvernements sont contraints d'intervenir pour en limiter les conséquences.
La cybersécurité, c'est la protection des revenus et de la réputation
L' Agence de l'Union européenne chargée de la cybersécurité (ENISA) a confirmé que l'incident survenu à l'aéroport était une attaque par ransomware, l'une des nombreuses attaques de ce type qui coûtent chaque année des milliards de dollars aux entreprises du monde entier.
Les attaques dans le secteur de l'aviation ont augmenté de 600 % d'une année sur l'autre. Et pourtant, trop d'organisations considèrent encore la cybersécurité comme un centre de coûts plutôt que comme un moyen de protéger leurs revenus et leur continuité.
Les dirigeants décrivent souvent deux types de leaders : ceux qui ont déjà été victimes d'une attaque par ransomware et ceux qui le seront. Trop souvent, les investissements significatifs ne sont réalisés qu'après avoir vécu le moment « oups » où l'on dépense des millions pour rétablir le fonctionnement normal.
Les dirigeants avisés comprennent que les dépenses en matière de cybersécurité ne visent pas à prévenir toutes les attaques possibles. Il s'agit plutôt de garantir que, lorsqu'une violation se produit (et non pas « si » elle se produit), les opérations puissent reprendre rapidement sans subir de dommages financiers catastrophiques. C'est là qu'intervient la gestion des risques cybernétiques prend tout son sens. Au lieu de traiter les risques de manière cloisonnée, les grandes entreprises :
- Centralisez les évaluations pour tous les fournisseurs, les opérations et l'infrastructure informatique afin de visualiser les risques en un seul endroit.
- Surveiller et alerter en permanence sur la conformité des fournisseurs, la santé opérationnelle, les violations potentielles et les vulnérabilités techniques.
- Alignez-vous sur les cadres réglementaires, tels que les règles cybernétiques de la SEC, DORA, NIS2, etc., afin d'être prêt pour les audits dès la conception.
- Quantifier le risque cyber en termes financiers afin de hiérarchiser les investissements et d'obtenir l'adhésion des dirigeants.
- Standardisez les processus de remédiation à l'aide de modèles et de guides pratiques, permettant ainsi aux équipes d'agir rapidement.
- Étendre la visibilité aux quatrièmes parties pour mettre au jour les risques liés à la concentration et aux chaînes d'approvisionnement cachées.
Envisager la cybersécurité sous l'angle de la gestion des risques permet de la transformer d'un coût réactif en une protection proactive de la continuité des activités et des revenus.
Planification en cas de catastrophe et risques liés aux tiers
Ces deux incidents soulignent l'importance de la planification en cas de catastrophe, en particulier dans le contexte actuel où les entreprises sont étroitement interconnectées. La mise hors ligne d'un seul fournisseur peut avoir des répercussions en cascade sur des secteurs entiers, comme on l'a vu avec certains grands prestataires de soins de santé lorsqu'un processeur de paiement critique a été pris pour cible.
Élaboration de plans d'action en cas de défaillance catastrophique des fournisseurs, réaliser des exercices de simulationet désigner les rôles décisionnels au niveau de la direction sont des étapes essentielles pour assurer la résilience. Les entreprises qui ont déjà réfléchi à des scénarios hypothétiques ont pu s'adapter plus rapidement lorsque des partenaires essentiels ont subi des temps d'arrêt.
Risque de concentration de la chaîne d'approvisionnement mis en évidence
L'attaque automobile illustre également un risque différent mais connexe : la concentration de la chaîne d'approvisionnement. La production dépendant d'un modèle d'approvisionnement en flux tendu, une seule perturbation a rapidement menacé des centaines de petites entreprises. De même, la dépendance des compagnies aériennes à l'égard d'un logiciel d'enregistrement dominant a fait qu'une seule attaque par ransomware s'est propagée presque instantanément au-delà des frontières.
Les organisations qui diversifient leur base de fournisseurs, cartographient leurs dépendances et investissent dans des technologies de visibilité sont mieux placées pour résister à ce type de chocs systémiques. Le risque de concentration, qu'il soit géographique, technologique ou lié à un fournisseur spécifique, est de plus en plus considéré comme l'une des vulnérabilités les plus négligées en matière de cyber-résilience.
Passer d'un centre de coûts à un catalyseur de continuité
Ce qui relie les incidents survenus à l'aéroport et dans le secteur automobile, c'est le fossé qui existe en matière de perception de la cybersécurité et de la gestion des risques. Ces fonctions sont trop souvent cloisonnées dans le domaine informatique et considérées uniquement comme des frais généraux. En réalité, elles sont des facteurs qui favorisent la continuité des revenus, la confiance dans la marque et la fidélité des clients.
Les organisations qui résistent le mieux aux attaques par ransomware sont celles qui ont déjà repensé la sécurité et les risques dans le cadre de la protection de la valeur de l'entreprise. Elles considèrent la résilience comme un avantage concurrentiel, et non comme une police d'assurance facultative. Cela revêt une importance encore plus grande à l'heure où les compagnies d'assurance cyber ont de plus en plus souvent supprimé la couverture contre les ransomwares de leurs polices ou exclu certains événements afin d'éviter les remboursements.
Le signal d'alarme pour tous les secteurs d'activité
Les aéroports paralysés, les fabricants qui suspendent leurs chaînes de production, les prestataires de soins de santé incapables de traiter les demandes de remboursement : les exemples se multiplient. Les cyberattaques ne sont pas des crises isolées. Il s'agit de risques systémiques qui exigent des réponses systémiques.
Les dirigeants ne peuvent pas se permettre de demander si leur organisation sera confrontée à une attaque. La seule question est de savoir s'ils seront prêts à se remettre sur pied sans perdre de temps.
C'est là qu'interviennent les plateformes modernes de gestion des risques et de conformité. En centralisant les évaluations des risques informatiques et cybernétiques, en surveillant en permanence les fournisseurs critiques, en quantifiant les menaces en termes financiers et en automatisant les workflows de réponse, les organisations peuvent passer d'une approche réactive à une approche proactive en matière de résilience. La capacité à identifier les risques de concentration tout au long de la chaîne d'approvisionnement, à se conformer aux réglementations mondiales et à se remettre rapidement des incidents n'est plus une option, mais une nécessité pour faire la différence entre ceux qui survivent et ceux qui peinent à s'en sortir. Découvrez les avantages d'une gestion efficace des cyber-risques dès aujourd'hui.
