Comment évaluer les nouveaux risques cyber ?
Publié le 19 09 2022 | Mis à jour le 07 11 2024
De nouveaux types d’attaques et de nouveaux acteurs apparaissant régulièrement, ce qui rend difficile l’évaluation des risques cyber. Dans une affaire très médiatisée, des cybercriminels ont récemment piégé un employé pour qu’il leur transfère de l’argent en utilisant l’IA pour imiter la voix du PDG…
L’attaque Sunburst, découverte en décembre, illustre l’ampleur du défi de la cybersécurité. Les pirates informatiques ont réussi à pénétrer dans les principales agences gouvernementales américaines et dans d’autres organisations du monde entier en compromettant les mises à jour de l’un de leurs fournisseurs de logiciels, SolarWinds. Les organisations peuvent faire appel à des centaines, voire des milliers, de fournisseurs et d’entrepreneurs tiers qui leur permettent de s’infiltrer.
Ces tiers peuvent être des fournisseurs informatiques, mais pas seulement : en 2017, un casino de Las Vegas aurait été infiltré par un aquarium connecté et un supermarché Target aux États-Unis aurait été atteint par l’intermédiaire de son fournisseur d’air conditionné en 2014.
Les approches actuelles de la gestion des risques liés à la cybersécurité présentent des lacunes importantes. Elles ont tendance à s’appuyer sur des « matrices de risques », qui utilisent une grille pour comparer la probabilité du risque et la gravité de l’impact. Les valeurs numériques attribuées aux probabilités et à la gravité ont tendance à être ambiguës, car on peut obtenir la même valeur numérique pour des menaces qui sont sensiblement différentes. Ceci peut conduire les organisations à hiérarchiser des risques de cybersécurité incorrectement, et donc à allouer les ressources de manière non optimale.
Lire la suite (The conversation)