Dans le monde d’aujourd’hui, de plus en plus connecté, la technologie numérique influence la façon dont les affaires sont menées, tout en ajoutant une valeur innovante aux produits et services d’une organisation. Cependant, le niveau d’interconnexion expose les émetteurs d’entreprise à un risque accru lié à la sécurité de l’information.

Pour atténuer ces risques, une saine gouvernance de la cybersécurité et une surveillance de la sécurité de l’information sont essentielles à la santé d’une organisation. Une surveillance de la sécurité de haut niveau devrait réduire le risque potentiel d’un résultat économique préjudiciable pour une entreprise. Comme les atteintes à la cybersécurité peuvent causer des dommages considérables aux opérations d’une entreprise, les organisations s’efforcent de mettre en place une communication plus détaillée de leurs efforts d’atténuation.

En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a édicté de nouvelles règles exigeant que les sociétés publiques divulguent annuellement leurs stratégies de gestion des risques en matière de sécurité de l’information et leurs pratiques de gouvernance. Bien que les règles n’entrent en vigueur que le 5 décembre 2023, les entreprises prennent dès maintenant des mesures pour se conformer aux nouvelles règles de la SEC. De plus, elles devraient rapidement signaler tout incident matériel de cybersécurité. À la lumière de cette nouvelle réalité, les organisations devraient envisager à la fois la façon de se conformer aux nouvelles règles et la meilleure manière de démontrer la gouvernance de la sécurité de l’information.

Les entreprises augmentent leurs efforts de déclaration

Signaler aux parties prenantes qu’elles s’efforcent de gérer les menaces en cybersécurité est devenu important pour les entreprises avant les règles de la SEC. En examinant les sociétés du S&P sondées par Institutional Shareholder Services (ISS), plus de 80 % des sociétés incluent des détails concernant à la fois les risques et les méthodes d’atténuation utilisées.

De plus en plus d’entreprises choisissent de signaler qu’elles ont mis en place un programme de formation en sécurité de l’information, près de 85 % des sociétés du S&P 500 faisant de telles divulgations, ce qui représente une augmentation importante au cours des deux dernières années. En 2021, seulement 57 % des sociétés du S&P 500 ont déclaré de tels programmes et 75 % en 2022.

Un autre indicateur qu’une entreprise dispose d’un programme de formation en cybersécurité est la présence d’une assurance contre le risque de sécurité de l’information. Les entreprises peuvent être moins enclines à le déclarer, car cela peut être un indicateur de vulnérabilité auprès des cybercriminels. Cependant, il n’y a pas beaucoup de preuves solides suggérant que les entreprises subissent des impacts pour avoir révélé l’existence d’une assurance contre les risques, selon ISS. Bien que près de 67 % des sociétés du S&P 500 aient déclaré disposer d’une assurance contre le risque de sécurité de l’information en septembre 2023, la plupart restent sous-assurées vu l’ampleur de l’exposition.

Atteintes à la cybersécurité et atteintes non matérielles

Les organisations qui subissent une atteinte à la cybersécurité doivent se conformer aux nouvelles règles de la SEC, qui obligent les entreprises à divulguer rapidement l’information, généralement dans un délai de quatre jours. Ces divulgations fournissent non seulement aux parties prenantes de l’information sur la posture en cybersécurité de l’entreprise, mais aussi aux investisseurs l’information nécessaire pour évaluer l’incident.

Alors que les nouvelles règles de déclaration de la SEC entrent en vigueur le 5 décembre, les organisations qui divulguent des incidents ont augmenté et continuent de le faire. Plus de 30 % des sociétés du S&P 500 ont signalé une atteinte matérielle ou non matérielle au cours des trois dernières années.

Cependant, une majorité des organisations du S&P 500 n’ont pas indiqué si une atteinte avait eu lieu et il n’est pas clair si le manque de divulgation est attribuable à l’absence d’atteinte. Les nouvelles règles de la SEC devraient offrir plus de clarté grâce à des divulgations plus complètes et exactes.

Sécuriser les TI, les TO et les autres technologies connectées

Avec la hausse des cyberattaques, la posture de cybersécurité doit aller au-delà de la simple déclaration ou identification des atteintes. Cela requiert des solutions spécialisées dotées de contrôles de sécurité avancés, tels qu’une visibilité unifiée de tous les actifs, la détection d’anomalies et de menaces, ainsi que des mesures de sécurité complètes pour la protection contre les atteintes informatiques.

Le suivi des appareils TI et TO dans diverses organisations est complexe et nécessite une compréhension approfondie du réseau, de la connectivité, des technologies et une gestion adéquate du contrôle et de la visibilité de l’environnement TI et TO d’une entreprise. 360* SecureOT de HCLTech est une solution conçue pour répondre à la nature dynamique, complexe et évolutive des exigences en cybersécurité OT/TI et IdO.

La solution offre une visibilité approfondie permettant une surveillance passive et autonome en temps réel de tous les systèmes connectés et de la circulation des données. L’architecture vise également à aider les organisations à se conformer aux normes industrielles et réglementaires telles que l’ISA/IEC 62443, le NIST et la NERC CIP.

Alors que les menaces aux réseaux des organisations continuent de croître, les entreprises visionnaires en matière de sécurité de l’information auront les meilleures chances d’améliorer leur posture de cybersécurité. De nombreuses entreprises et parties prenantes pourront bénéficier de la divulgation d’incidents de cybersécurité en identifiant des pistes d’amélioration.