Les conseils d’administration sont désormais légalement responsables de la cyber-résilience, mais personne n’est d’accord sur ce que cela signifie réellement. Il est temps d’arrêter de parler de « sécurité » et de commencer à parler de survie.
La cyber-résilience est devenue une préoccupation majeure en matière de gouvernance alors que les organisations sont confrontées à des cybermenaces de plus en plus complexes et coûteuses. Cependant, des recherches récentes révèlent que le concept de cyber-résilience reste défini de manière incohérente dans les cadres réglementaires et, dans certains cas, présente des orientations contradictoires aux organisations intersectorielles et multinationales. Cette fragmentation conceptuelle présente un risque systémique pour les équipes dirigeantes. Sans une définition standardisée, les conseils d’administration auront du mal à déterminer ce qu’ils doivent superviser, ce qui doit être mesuré et comment évaluer la cyber-résilience organisationnelle globale. Ce défi est amplifié par plusieurs facteurs externes tels que la pression réglementaire, la surveillance croissante du public et l’impact économique croissant des cyber-perturbations.
Que nous dit la littérature de recherche actuelle ?
Dans le but de synthétiser les points de vue qui existent actuellement sur la cyber-résilience, j’ai récemment mené une revue détaillée de la littérature sur 38 articles qui examinent comment la cyber-résilience est définie et conceptualisée dans des contextes pertinents pour les conseils d’administration et les équipes de direction. L’examen comprenait des articles de recherche universitaire, des livres blancs de l’industrie et des résultats de groupes de travail reconnus sur la cyber-résilience.
L’objectif était d’évaluer si les définitions et conceptualisations existantes de la cyber-résilience démontrent un alignement suffisant pour soutenir une définition généralisée de la cyber-résilience pertinente pour les conseils d’administration et, au fil du temps, soutenir des modèles de mesure significatifs. Les résultats sont clairs : le domaine de la cyber-résilience en est encore à ses balbutiements et la compréhension des concepts de cyber-résilience est loin d’être cohérente. Bien que de nombreux concepts de cyber-résilience soient compris intuitivement au sein des rangs techniques, la cyber-résilience doit être placée dans des contextes spécifiques de résultats commerciaux lors des discussions avec les conseils d’administration et les équipes de direction.
Voici une brève synthèse des résultats de l’analyse documentaire, en mettant l’accent sur les domaines de convergence et de divergence dans l’ensemble de la littérature.
Où converge la littérature
Résultats organisationnels par rapport aux politiques et aux contrôles
Il est généralement admis que la cyber-résilience doit être liée aux résultats organisationnels plutôt qu’aux contrôles et politiques techniques. Plutôt que de se concentrer sur des indicateurs tels que le délai moyen de détection ou le nombre de contrôles de sécurité, la cyber-résilience organisationnelle doit évaluer les niveaux de continuité des activités, de préservation de la confiance des parties prenantes et de stabilisation financière à la suite de perturbations majeures. Pour ce faire, il faut que la cyber-résilience soit traitée comme une priorité stratégique intégrée à la gouvernance organisationnelle et aux stratégies commerciales.
La résilience va bien au-delà de la préparation
Alors que certains articles présentaient la prévention et la protection des risques dans le contexte de la résilience, la continuité des activités et la reprise figuraient en bonne place comme thèmes importants de la résilience dans pratiquement tous les articles examinés. Cela démontre une conviction commune selon laquelle les perturbations sont inévitables et que la résilience se démontre par une réponse et un rétablissement rapides plutôt que par la seule préparation. Certains articles sont allés jusqu’à préconiser de traiter la cybersécurité et la cyber-résilience comme des concepts distincts pour aider à lever les ambiguïtés.
La cyber-résilience est une responsabilité du leadership
La cyber-résilience est de plus en plus considérée comme une responsabilité de leadership, la gouvernance associée étant identifiée comme l’un des principaux défis de gouvernance auxquels sont actuellement confrontés les conseils d’administration. De nombreuses sources positionnent explicitement les conseils d’administration comme responsables des résultats en matière de résilience, certains articles soulignant la nécessité d’attribuer la responsabilité à un seul responsable. Cela est clairement motivé par les réglementations gouvernementales dans lesquelles, dans certains pays, la responsabilité du Conseil d’administration en matière de résultats en matière de cyber-résilience est explicitement identifiée. Les articles soulignent également l’importance de la haute direction dans la promotion d’une culture de sensibilisation à la cybersécurité et de résilience dans l’ensemble de l’organisation.
Contexte de l’industrie
L’examen a également étudié les différences dans les définitions et les conceptualisations de la cyber-résilience entre les secteurs et, même si des différences existent, elles reflètent exclusivement la priorisation et l’environnement opérationnel, et non des visions fondamentalement différentes de la résilience. Par exemple, les articles axés sur le secteur des services financiers mettent l’accent sur la conformité réglementaire et la stabilité systémique de l’écosystème, tandis que ceux axés sur les secteurs de l’énergie et de l’industrie indiquent clairement que la priorité est accordée à la continuité opérationnelle et à la sécurité. Bien que ces différences puissent influencer la manière dont la résilience est mise en œuvre et mesurée, les concepts sous-jacents de la cyber-résilience restent cohérents dans tous les secteurs.
Des points de vue divergents
Cadrage conceptuel : qu’est-ce que la cyber-résilience exactement ?
Un domaine dans lequel la littérature actuelle sur la cyber-résilience diverge est celui du cadre général ou de la construction de la cyber-résilience. Dans de nombreux cas, la cyber-résilience est considérée comme une composante de la cybersécurité, tandis que d’autres considèrent la cybersécurité comme un précurseur de la cyber-résilience. Dans de nombreux articles examinés, des termes tels que gestion des risques, préparation à la cybersécurité et cyberrésilience ont été utilisés de manière interchangeable. Environ 30 % des articles présentent la cyber-résilience comme un concept très distinct, la différenciant des concepts généraux de cybersécurité. Ces articles positionnent exclusivement la cyber-résilience comme un concept de gouvernance stratégique plus large.
Portée de la cyber-résilience : où commence-t-elle et où finit-elle ?
Le sujet de débat le plus brûlant est celui de savoir où commence et où finit, dans le cycle de vie d’une cyber-crise, la responsabilité en matière de cyber-résilience. Par exemple, comme indiqué précédemment, il est souvent difficile de savoir si la préparation fait partie de la résilience ou en est un précurseur. Près de la moitié des articles de recherche examinés considèrent l’analyse des risques et la préparation comme distinctes de la résilience. Dans de tels cas, la résilience se limite à la réponse, au rétablissement et à l’adaptation. Essentiellement, il s’agit de séparer ce qui se passe avant une crise de ce qui se passe pendant et après une crise.
Cette séparation est logique dans la mesure où la préparation aux cyber-risques est généralement mesurée au moyen de politiques et de contrôles, tandis que la réponse aux crises, la reprise et l’adaptation nécessitent des mesures très différentes. Pourtant, un peu plus de 50 % des articles considèrent la cyber-résilience comme un concept global responsable de tous les aspects, depuis l’anticipation des risques jusqu’au rétablissement et à l’adaptation. Ce point de vue est également logique et est plus pertinent pour les conseils d’administration et les équipes de direction compte tenu de leurs vastes responsabilités fiduciaires visant à protéger l’entreprise et ses actionnaires.
La cybercriminalité, catalyseur de la cyber-résilience : qu’en est-il des perturbations involontaires ?
Comme dans le débat précédent, la manière dont les causes des événements perturbateurs sont définies dans le contexte de la cyber-résilience est similaire au sujet de débat précédent. Même si la cybercriminalité occupe une place importante dans la littérature et reste le principal facteur de risque cyber, de nombreuses définitions évitent intentionnellement de lier la résilience à un seul type de menace. En fait, sur les 38 articles examinés, seuls deux liaient spécifiquement leurs définitions de la cyber-résilience aux événements résultant de la cybercriminalité. Ce constat est surprenant, mais encourageant si l’on considère le nombre récent de perturbations involontaires très visibles qui ont provoqué des pannes massives. La gouvernance de la cyber-résilience doit certainement se concentrer sur la capacité d’une organisation à absorber et à se remettre de tout type de cyber-perturbation, intentionnelle ou non.
La régulation gouvernementale : un catalyseur ou une contrainte ?
Les cadres réglementaires pour la cyber-résilience varient considérablement selon les zones géographiques et les secteurs, ce qui crée des défis en matière de normalisation. Les cyberréglementations dans le secteur des services financiers sont assez différentes de celles du secteur de l’énergie, qui sont elles aussi différentes de celles du secteur des technologies grand public. Plusieurs des articles examinés ont souligné la complexité de naviguer dans un océan de réglementations et de régulateurs. Les régulateurs concernés comprennent la CISA, la FTC et la SEC aux États-Unis, plus de 10 régulateurs sectoriels au Royaume-Uni, des États membres individuels de l’UE et bien d’autres.
Il existe un certain désaccord sur les avantages de la réglementation, mais l’opinion majoritaire issue de cette étude est que pour les organisations, en particulier les multinationales, la complexité est devenue ingérable. Il convient également de noter que pour les petites et moyennes entreprises, le respect des réglementations peut donner un faux sentiment de sécurité, car il peut être tentant de supposer que le respect des réglementations est synonyme de résilience.
Implications pour les conseils d’administration et les équipes de direction
Les conseils d’administration et les équipes de direction sont de plus en plus tenus, et dans certains cas requis par la loi, d’assumer la responsabilité des résultats globaux en matière de cyber-risques et de résilience. Cette responsabilité dépasse de loin les attentes historiques consistant à simplement approuver les investissements en matière de sécurité ou les activités de conformité. Pour y parvenir efficacement, il est impératif qu’une définition claire et la portée de la cyber-résilience soient clairement communiquées en termes commerciaux au conseil d’administration et à l’équipe de direction. Pour ces publics, la cyber-résilience doit être définie en termes d’impact opérationnel, d’exposition financière et de continuité organisationnelle plutôt qu’en termes d’indicateurs techniques uniquement.
À mesure que les économies deviennent plus intégrées et interdépendantes, leur exposition aux cyber-perturbations et leur impact augmentent de façon exponentielle. En tant que telle, la capacité des organisations individuelles à résister et à se remettre rapidement d’une cyber-perturbation n’est pas seulement une mesure de la cyber-résilience organisationnelle ; cela contribue également à notre résilience économique mondiale globale. En ce sens, la cyber-résilience doit être considérée comme une composante d’un programme plus large de résilience, aux côtés de la résilience financière, opérationnelle et de la chaîne d’approvisionnement. Clarifier la portée de la cyber-résilience au niveau du conseil d’administration n’est donc pas seulement une question de gouvernance, mais aussi une base pour comprendre la résilience globale dans des économies de plus en plus numériques.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
