La menace toujours présente des cyberattaques exige un changement de paradigme dans la mise en place des systèmes d’information
Selon CybersecurityDive, la persistance des risques très élevés dans le domaine de la cybersécurité serait la conséquence des effets cumulatifs de décennies de conception technologique qui n'a pas été assez prévoyante en matière de sécurité. À cela, il faut ajouter une coopération incohérente entre l'industrie et le gouvernement, des responsabilités déséquilibrées et des protocoles non sécurisés.
Ce sont les propos de Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency, lors d'un débat au très prestigieux Consumer Electronics Show tenu à Las Vegas plus tôt cette année. Apparemment, l'augmentation constante de la sévérité des dégâts liés à la cybercriminalité n'est simplement plus tenable. Aux dires de cette spécialiste, les dommages causés par la cybercriminalité ont coûté aux organisations 6 000 milliards de dollars l'année dernière, et ils devraient atteindre 8 000 milliards de dollars cette année et 10 500 milliards de dollars en 2025.
Le constat semble être que l'infrastructure critique, sur laquelle les États-Unis misent tous les jours, repose sur une base technologique qui a été créée, certes, efficacement, mais de manière non sécurisée. Qui plus est, cet état de choses n'est pas près de se résoudre, à moins qu'il y ait une réorganisation fondamentale des priorités et des incitations.
En effet, Jen Easterly est d'avis qu'à l'heure actuelle, les incitations en matière de technologie privilégient de façon démesurée les coûts, la capacité, les performances, la rapidité de mise sur le marché, mais pas la sécurité. Ainsi donc, lorsqu'une entreprise est victime d'une cyberattaque et qu'on l'accuse d'avoir négligé la sécurité de ses données, il est rarement question de réfléchir à la responsabilité des fournisseurs des technologies. Ultimement, ce sont les fournisseurs qui proposent des logiciels qui peuvent être déficitaires et qui nécessitent constamment des corrections.
Dans cet ordre d'idées, il est pertinent, d'un côté, de placer une plus grande responsabilité en matière de cyberresponsabilité sur les fournisseurs et les fabricants de technologies et, d'un autre, de modifier la façon dont les entreprises attribuent la responsabilité des risques. Plus précisément, les PDG et les conseils d'administration doivent assumer le risque d'entreprise, et pas seulement les dirigeants de l'information ou les directeurs des ventes. Il semblerait que lorsque ces dirigeants identifient un risque de façon opportune, ils ne sont pas assez soutenus financièrement par la haute direction pour résoudre ces problèmes.
Enfin, le contexte économique défavorable aurait aussi une incidence dans la recrudescence des cyberattaques, en raison de nombreux licenciement de professionnels technologiques. De ce fait, il y a moins de ressources qualifiées pour protéger l'entreprise.
Selon CybersecurityDive, la persistance des risques très élevés dans le domaine de la cybersécurité serait la conséquence des effets cumulatifs de décennies de conception technologique qui n'a pas été assez prévoyante en matière de sécurité. À cela, il faut ajouter une coopération incohérente entre l'industrie et le gouvernement, des responsabilités déséquilibrées et des protocoles non sécurisés.
Ce sont les propos de Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency, lors d'un débat au très prestigieux Consumer Electronics Show tenu à Las Vegas plus tôt cette année. Apparemment, l'augmentation constante de la sévérité des dégâts liés à la cybercriminalité n'est simplement plus tenable. Aux dires de cette spécialiste, les dommages causés par la cybercriminalité ont coûté aux organisations 6 000 milliards de dollars l'année dernière, et ils devraient atteindre 8 000 milliards de dollars cette année et 10 500 milliards de dollars en 2025.
Le constat semble être que l'infrastructure critique, sur laquelle les États-Unis misent tous les jours, repose sur une base technologique qui a été créée, certes, efficacement, mais de manière non sécurisée. Qui plus est, cet état de choses n'est pas près de se résoudre, à moins qu'il y ait une réorganisation fondamentale des priorités et des incitations.
En effet, Jen Easterly est d'avis qu'à l'heure actuelle, les incitations en matière de technologie privilégient de façon démesurée les coûts, la capacité, les performances, la rapidité de mise sur le marché, mais pas la sécurité. Ainsi donc, lorsqu'une entreprise est victime d'une cyberattaque et qu'on l'accuse d'avoir négligé la sécurité de ses données, il est rarement question de réfléchir à la responsabilité des fournisseurs des technologies. Ultimement, ce sont les fournisseurs qui proposent des logiciels qui peuvent être déficitaires et qui nécessitent constamment des corrections.
Dans cet ordre d'idées, il est pertinent, d'un côté, de placer une plus grande responsabilité en matière de cyberresponsabilité sur les fournisseurs et les fabricants de technologies et, d'un autre, de modifier la façon dont les entreprises attribuent la responsabilité des risques. Plus précisément, les PDG et les conseils d'administration doivent assumer le risque d'entreprise, et pas seulement les dirigeants de l'information ou les directeurs des ventes. Il semblerait que lorsque ces dirigeants identifient un risque de façon opportune, ils ne sont pas assez soutenus financièrement par la haute direction pour résoudre ces problèmes.
Enfin, le contexte économique défavorable aurait aussi une incidence dans la recrudescence des cyberattaques, en raison de nombreux licenciement de professionnels technologiques. De ce fait, il y a moins de ressources qualifiées pour protéger l'entreprise.