Sécurité de l'information : le pouvoir de garantir le bon fonctionnement et l'efficacité de votre entreprise

Les changements de mentalité en matière de sécurité de l'information ont été partagés lors de la conférence CIO CSO 2024. Ce message est considéré comme historique, témoignant de changements majeurs dans la situation de la sécurité de l'information à l'échelle mondiale et au Vietnam, où aucune entreprise ni organisation ne peut être sûre de sa sécurité.

La sécurité de l’information n’est pas un choix mais une nécessité

Lors de l'ouverture de l'événement, un représentant du Département de la sécurité de l'information du ministère de l'Information et des Communications a affirmé que la mise en œuvre des réglementations en matière de sécurité de l'information n'est désormais plus un choix mais une obligation.

L'avertissement a été émis dans le contexte où les réglementations en matière de sécurité de l'information sont complètes, mais de nombreuses entreprises et organisations sont encore subjectives et ne sont pas les mieux préparées pour répondre aux risques.

D'autre part, les cybercriminels sont de plus en plus actifs et considèrent le Vietnam comme un marché potentiel. De fait, d'importantes unités nationales ont été attaquées, causant des pertes de plusieurs millions de dollars, et de nombreuses autres unités ont été sanctionnées pour non-conformité.

Pour clarifier cette question, M. Nguyen Son Hai, directeur de Viettel Cyber Security (VCS), a évoqué la réalité de l'expansion des cibles de la cybercriminalité. Les grandes entreprises à fort potentiel financier ne sont plus la seule priorité des pirates informatiques, car elles disposent de capacités défensives. Les pirates informatiques ciblent désormais des « cibles vulnérables », c'est-à-dire des entreprises plus petites qui ne se préoccupent pas de la sécurité de l'information. Ils attaquent alors à grande échelle pour maximiser leurs profits. Toute entreprise devient ainsi la cible de groupes de pirates informatiques aux compétences de pointe.

Un représentant du VCS a estimé que les attaques ne visent plus seulement le vol de données et d'actifs, mais aussi la perturbation des activités commerciales. Généralement, les attaques de chiffrement de données (rançongiciels) combinées à des attaques ciblées APT ont chiffré au moins 10 To de données, obligeant les entreprises nationales à payer plus de 5 millions de dollars, et subissant simultanément de graves conséquences sur leur réputation et leurs actifs, sans compter les dizaines d'entreprises initialement compromises.

Alors que les attaquants sont actifs, les entreprises sont confrontées à de nombreux défis pour mettre en œuvre la sécurité de l'information. Face à cette asymétrie, M. Hai estime que la possibilité d'être attaqué par des cyberattaques est devenue une réalité objective et inévitable, exigeant des entreprises une nouvelle approche.

« Auparavant, nous avons tenté de prévenir l'attaque, mais nous devons désormais anticiper ce qui se passerait si elle réussissait. Nous avons besoin d'une solution pour la contrer, qui consiste à optimiser la cyber-résilience, avec pour objectif ultime de maintenir la continuité des opérations des organisations et des entreprises », a déclaré M. Hai.

Investir dans la sécurité de l'information garantit la performance continue de l'entreprise

À travers le processus de mise en œuvre concret de centaines d'unités nationales, le directeur du VCS comprend les défis auxquels sont souvent confrontés les responsables informatiques et de la sécurité de l'information. À ce stade, les trois principaux enjeux à résoudre sont les ressources humaines, l'efficacité des investissements et l'optimisation des coûts.

Face à la pénurie constante de ressources humaines en sécurité de l'information, seules 5 % des grandes entreprises disposent souvent de ressources humaines compétentes. Les experts VCS conseillent de combiner la formation des ressources humaines existantes et la collaboration avec des partenaires pour compléter les ressources, en constituant une équipe de surveillance 24h/24 et 7j/7.

Concernant l'efficacité des investissements, M. Hai a suggéré que les unités évaluent l'efficacité à l'aide d'indicateurs de résultats plutôt que simplement en fonction des résultats de l'investissement. « Auparavant, l'objectif était de prévenir le nombre d'incidents et d'attaques. Aujourd'hui, l'objectif ultime est d'assurer la continuité des activités », a souligné M. Hai.

Enfin, selon les dirigeants du VCS, pour optimiser les coûts, en plus de changer la façon de faire dans une direction cohérente, ils doivent trouver des partenaires appropriés pour accroître la spécialisation et éviter de disperser les investissements.

Pour une entreprise, un partenaire en sécurité informatique peut être un fournisseur de produits ou de services. Cependant, agissant seuls, ces partenaires ne peuvent souvent pas proposer une stratégie globale, ne possèdent pas une connaissance approfondie de l'organisation et leurs coûts peuvent même être excessifs et difficiles à contrôler.

C'est également la raison pour laquelle, au cours des deux dernières années, VCS a développé le Cyber Security Maturity Program (CSMP), visant à devenir un partenaire à long terme en établissant des indicateurs de gestion et de mesure, tout en contrôlant et en optimisant les coûts, en suivant le cycle de vie de l'entreprise pour aider l'entreprise à mûrir en matière de sécurité de l'information, en garantissant des opérations efficaces et continues.