Skip to main content Skip to Footer

RISQUE INFORMATIQUE ET RÉSILIENCE


Résilience informatique : Répondre aux enjeux du risque informatique

Établir une résilience informatique constitue l’un des plus puissants moyens dont dispose une entreprise pour gérer le risque informatique et assurer le maintien des opérations malgré la persistance des menaces.

RISQUE INFORMATIQUE : MIEUX VAUT PRÉVENIR QUE GUÉRIR

Le risque informatique s’aggrave

Les menaces sont fréquentes et diversifiées — les assaillants sont agiles et s’adaptent rapidement. Les sociétés de services financiers doivent maintenant repenser la gestion de ce risque.

Un million de nouvelles menaces

  • En 2014, près d’un million de nouvelles menaces surgissaient chaque jour dans l’univers numérique.1  

Coût de 20 millions $

  • Chaque année, les attaques informatiques coûtent en moyenne 20 millions $ aux sociétés financières.2 

En 20141

  • Cinq grandes entreprises sur six furent attaquées

 

  • Plus de 317 millions de programmes malveillants ont été créés.

 

  • Hausse de 23 pour cent des violations des données.

 

  • Les entreprises comptant plus de 2 500 employés ont subi 40 pour cent plus d’attaques par rapport à 2013.

DÉFINITION DE LA RÉSILIENCE INFORMATIQUE

La résilience informatique c’est...

La capacité d’une entreprise de définir, de prévenir, de détecter, et de réagir aux défaillances fonctionnelles ou technologiques, et d’y remédier tout en limitant les dommages que peuvent subir les clients, les atteintes à la réputation et les pertes financières.

Le coût annuel moyen relatif aux attaques informatiques pour les sociétés de services financiers s’élève à 20 millions $. Combien d’attaques de 20 millions $ pouvez-vous vous permettre?

Chris Thompson

Directeur exécutif principal

Accenture, Finances et risques

LES TROIS PILIERS DE LA RÉSILIENCE INFORMATIQUE

Le risque informatique est multidimensionnel.

Pour bien établir sa résilience informatique, nous croyons qu’il faut mettre l’accent sur la gestion de trois types de risques en particulier. Et pour savoir si votre entreprise gère bien ces trois types de risques, il faut poser les questions suivantes: 


ÉTABLIR SA RÉSILIENCE INFORMATIQUE

Nous croyons qu’une résilience informatique musclée doit comprendre l’établissement d’un ensemble intégral de ressources de gestion du risque et de la sécurité. Notre méthodologie cible tous les points d’accès et tous les aspects que les organisations financières doivent préparer.


Cyber Resilience Methodology

Réagir

Plan d’intervention en cas d’incident:
Structure pour définir et gérer les plans d’action.

Gestion de crise:
Structure pour gérer les incidents et aviser les parties touchées.

Définir

Définition du risque:
Ensemble des risques habituels associés au risque informatique.

Incidents liés au risque:
Scénarios pouvant avoir un impact sur l’organisation.

Détecter

Détection et définition:
Outils et paramètres permettant de définir et enregistrer des aspects pour gérer les opérations.

Surveillance opérationnelle:
Préparer les outils permettant de définir et détecter les menaces, ainsi que leur escalade et leur supervision.

Prévenir

Contrôles d’affaires et informatiques
Supervision des contrôles et de leurs programmes de test.

Modèle opérationnel:
Préciser la structure comprenant les personnes, l’organisation, les rôles, les outils et les processus à gouverner.

Source : How to Make Your Enterprise Cyber Resilient, Accenture, octobre 2015

ÉVITEZ CES EMBÛCHES

Peu d’entreprises maîtrisent réellement leur approche au risque informatique. Pourquoi?

Nous avons constaté qu’elles connaissaient les difficultés suivantes:

  1. Silos organisationnels : Le risque informatique est souvent perçu comme une préoccupation technologique sous la responsabilité de la direction de la sécurité informatique. Or, il arrive que la direction du risque ne s’implique pas suffisamment dans la question.  
  2. Participation insuffisante du volet commercial : La sécurité informatique est une question commerciale, et non seulement technologique. Les entreprises doivent gérer le risque informatique d’un point de vue commercial et de l’ensemble de l’organisation.
  3. Valorisation excessive de la formation et des communications : La plupart des programmes d’atténuation des risques misent trop sur le contrôle du risque par le changement de comportement humain. Les organisations résilientes peuvent contenir les attaques sans compter uniquement sur les personnes comme moyen d’atténuation du risque.
  4. Pénurie de talents : La forte demande en ressources versées en technologies peut limiter talents disponibles pour de bâtir une entreprise résiliente.

Télécharger le rapport pour découvrir comment surmonter ces obstacles. [PDF, 1737KB]

Suivez la conversation





Sources:

11. “Internet Security Threat Report,"  Symantec, avril 2015, volume 20. Accessible au: http://www.symantec.com/security_response/publications/threatreport.jsp
22. “Cyber Attacks on U.S. Companies in 2014", The Heritage Foundation, 27 octobre 2014. Accessible au: 
http://www.heritage.org/research/reports/2014/10/cyber-attacks-on-us-companies-in-2014