La cyber-résilience du Royaume-Uni a-t-elle atteint un plateau ?

Toutes les entreprises devraient aspirer à être plus résilientes en matière de cybersécurité. Cela signifie qu'ils sont plus capables de se défendre et de survivre à une attaque et de se rétablir lorsqu'un incident survient. Cependant, mesurer la cyber-résilience peut s’avérer difficile. C'est là que le gouvernement Enquête longitudinale sur la cybersécurité entre en jeu.

Libéré plus tôt cette année, elle révèle que les organisations ont à peine amélioré leur cyber-résilience par rapport aux enquêtes menées les années précédentes. Le manque d’intérêt pour Cyber ​​Essentials et ISO 27001 est particulièrement préoccupant.

La résilience reste stable

L’essentiel de cette enquête est qu’elle suit les mêmes 1000 XNUMX entreprises pour chaque « vague » annuelle qu’elle mène pour évaluer les progrès au fil du temps parmi les moyennes et grandes entreprises britanniques. Cette dernière vague (trois) révèle que la cyber-résilience est restée largement stable malgré un probable changement des budgets et des priorités à la suite de la pandémie.

Du côté politique, on constate une légère augmentation du nombre d'entreprises qui ont élaboré un plan de continuité d'activité couvrant la cybersécurité (76% contre 69% il y a deux ans), une liste écrite des vulnérabilités de leur entreprise (61% contre 54 %), un processus écrit de réponse aux incidents (59 % contre 51 %) et une police de cyber-assurance (79 % contre 66 %).

Malgré ces améliorations marginales, Brian Honan, PDG de BH Consulting, affirme que les statistiques ne peuvent pas être considérées comme des indicateurs de la résilience d'une entreprise en matière de cybersécurité.

"Beaucoup de ces éléments sont désormais considérés comme des exigences minimales pour les entreprises souhaitant souscrire à notre cyber-assurance", a-t-il déclaré à ISMS.online.

Il ajoute que de nombreuses entreprises ne considèrent toujours pas la cybersécurité comme un risque commercial critique mais plutôt comme un problème informatique.

« Plus tôt les entreprises comprendront à quel point elles dépendent de leurs systèmes informatiques, d’Internet et des données dont elles disposent, plus tôt elles comprendront que la cybersécurité doit être traitée et gérée comme un risque commercial critique », affirme-t-il.

Simon Newman, PDG du Cyber ​​Resilience Centre, déclare à ISMS.online qu'il voit encore de nombreuses entreprises avoir des difficultés avec la cyber-hygiène, même la plus élémentaire.

« L’une des principales raisons est un manque perçu de compétences ou de connaissances, mais nous savons également qu’il est très difficile de leur faire comprendre la menace en premier lieu », affirme-t-il.

En particulier, il a vu des entreprises penser qu'il est préférable d'attendre quelques semaines avant de mettre à jour leurs logiciels, car elles « entendent des histoires » sur de nouvelles mises à jour causant des problèmes.

Honan ajoute que pour renforcer leur cyber-posture, les organisations devraient fonder leur stratégie de cybersécurité sur un programme complet de cyber-risques avec un niveau avancé de processus et de procédures, ainsi qu'une adhésion et un leadership complets de la part de la haute direction.

Les patrons sont-ils au courant ?

L'enquête longitudinale révèle que 55 % des entreprises ont désormais un membre au sein de leur conseil d'administration dont les rôles incluent la surveillance des risques de cybersécurité. On a également constaté une augmentation de la proportion d'entreprises déclarant que leur conseil d'administration discute de cybersécurité : 43 % cette année, contre 37 % lors de la première vague.

Honan affirme que les conseils d'administration et la haute direction doivent comprendre qu'un volume toujours croissant de réglementations autour de la cybersécurité, de la protection des données, de l'IA et de l'Internet des objets – tant au Royaume-Uni que dans l'UE – accroissent la responsabilité en matière de cybersécurité au sein de la haute direction et du conseil d'administration. niveau.

Confiance dans le processus

Malheureusement, le respect des normes et cadres de bonnes pratiques semble stagner. L'enquête révèle que seulement 38 % des entreprises suivent désormais les conseils de bonnes pratiques de Cyber ​​Essentials (certifications Standard ou Plus) ou ISO 27001. Newman du Cyber ​​Resilience Centre affirme que ces options peuvent être utiles, mais il y a souvent le défi de ce qu'il appelle un « client non informé », où les utilisateurs ne savent pas où s'adresser pour obtenir une expertise technique.

Newman ajoute que la sensibilisation et l'adoption de Cyber ​​Essentials restent trop faibles, en particulier parmi les petites entreprises, qui ne voient pas nécessairement l'intérêt de les suivre. D'autres le font uniquement pour répondre aux exigences du contrat. Il affirme qu'une partie du problème réside dans l'incapacité du gouvernement à promouvoir la valeur des Cyber ​​Essentials et les conseils sur les meilleures pratiques du National Cyber ​​Security Center (NCSC).

Newman affirme que le coût est également un problème, les ajouts portant souvent la dépense totale pour Cyber ​​Essentials jusqu'à 1000 XNUMX £. Bien que la plupart des organisations aient mis en œuvre les contrôles requis pour atteindre Cyber ​​Essentials, nombre d’entre elles n’ont pas encore obtenu une accréditation complète, selon l’enquête.

Avec un peu d'aide

L'enquête de cette année a révélé que seuls 19 % des répondants se conforment à la norme ISO 27001, ce qui représente peu de changement par rapport à la première vague (15 %). Cela semble en contradiction avec la suggestion de l'enquête selon laquelle « les résultats des entretiens qualitatifs suggèrent que la certification ISO 27001 est considérée par les entreprises comme l'accréditation la plus solide et la plus substantielle disponible ».

Honan, de BH Consulting, affirme que de nombreuses organisations considèrent la norme ISO 27001 comme trop onéreuse ou coûteuse à mettre en œuvre et à maintenir.

« Ainsi, même si de nombreuses entreprises utilisent la norme ISO 27001 comme cadre sur lequel construire leur programme de cybersécurité, toutes ne franchiront peut-être pas l'étape suivante pour obtenir une certification selon la norme », explique-t-il.

Obtenir la certification et maintenir la conformité peut prendre du temps, de l’argent et des ressources, même si des spécialistes tiers de la conformité peuvent rationaliser considérablement le processus grâce à des outils numériques.

Être certifié selon une norme telle que ISO 27001 peut permettre à une organisation de démontrer aux principales parties prenantes telles que le conseil d'administration, la haute direction, les clients et les régulateurs qu'elle suit les meilleures pratiques de cybersécurité reconnues par l'industrie.

L’IA pourrait-elle aider ces entreprises à accélérer leur démarche de conformité ? Honan affirme que la clé de la norme ISO 27001, comme de nombreuses réglementations actuelles en matière de cybersécurité, consiste à adopter une approche de la sécurité basée sur les risques.

« Par conséquent, pour que la norme ISO 27001 soit applicable à votre organisation, elle doit se concentrer sur les exigences de l'entreprise », explique-t-il. « Bien que des documents modèles et même l'IA puissent vous aider à développer votre projet ISO 27001, je veillerais à ce que les résultats de ces outils ne soient pas trop génériques pour votre entreprise.