Table of contents
- 1 Chapitre 1 : Introduction
- 2 Chapitre 2
- 2.1 Pourquoi la gouvernance descendante n'est pas optionnelle
- 2.2 Les principaux acteurs de la menace
- 2.3 Vidéo : Résumé
- 2.4 Widget : Calculateur d'impact financier des ransomwares
- 3 Chapitre 3
- 3.1 Cinq études de cas majeures
- 3.2 Widget 2 : Tableau de bord de maturité de la gouvernance cybernétique du conseil d'administration
- 3.3 Widget 3 : Explorateur de renseignements sur les acteurs de la menace
- 4 Conclusion
1 Chapitre 1 : Introduction
2 Chapitre 2
2.1 Pourquoi la gouvernance descendante n'est pas optionnelle
Pourquoi la gouvernance descendante n'est pas optionnelle
La cybersécurité n'est pas un problème technologique, mais un problème de gouvernance. Cette première section explique pourquoi le conseil d'administration est juridiquement responsable et ce que cela implique concrètement.
1.1 La nature systémique de la cybersécurité
Un pare-feu ne détermine pas le budget alloué à la sécurité. Un SIEM ne décide pas des investissements à réaliser dans la formation du personnel. Un système de gestion des correctifs ne décide pas du remplacement des systèmes OT existants. Ce sont des décisions de gouvernance, prises par le conseil d'administration, qui en est désormais juridiquement responsable.
Le conseil d'administration définit le niveau de risque acceptable. Si ce dernier n'a pas été suffisamment informé des cyber-risques – en des termes qu'il puisse comprendre et exploiter –, son niveau de risque acceptable est mal informé. Un niveau de risque mal informé n'est pas une défense, mais une défaillance de gouvernance.
Les trois modes de défaillance de la cybergouvernance des conseils d'administration
Délégation sans responsabilité
« Nous avons un RSSI — c'est son travail. » Le RSSI met en œuvre le programme ; le conseil d'administration définit le niveau de risque acceptable, approuve le programme, vérifie son efficacité et tient le RSSI responsable.
Budget sans compréhension
Approuver un budget de cybersécurité sans comprendre ce qu'il finance ni les risques qui subsistent n'est pas de la bonne gouvernance ; c'est un chèque en blanc qui crée des responsabilités sans aucune garantie.
Politique sans preuve
D'excellentes politiques sur le papier, mais jamais vérifiées. Une politique affirmant que « toutes les données sont chiffrées » ne signifie rien si personne n'a vérifié si le chiffrement est réel.
2.2 Les principaux acteurs de la menace
Les principaux acteurs de la menace
Comprendre qui attaque les organisations — et pourquoi — est le fondement de décisions éclairées en matière de risques au niveau du conseil d'administration.
1.2 Acteurs étatiques
Des groupes étatiques russes, chinois, nord-coréens et iraniens mènent des attaques à des fins de renseignement géopolitique, d'espionnage industriel et de perturbation des infrastructures critiques. Ces acteurs opèrent en toute impunité, disposant de ressources et d'un temps illimités.
- → Le « Typhon Volt » chinois : prépositionné depuis des années au sein des infrastructures critiques américaines et européennes, il attend des déclencheurs géopolitiques. Les entreprises pharmaceutiques, énergétiques et de semi-conducteurs sont des cibles prioritaires.
- → Le ver des sables russe : responsable de NotPetya (2017) — plus de 10 milliards de dollars de dégâts à l’échelle mondiale, dont 300 millions pour Maersk et 870 millions pour Merck. Qualifié d’« acte de guerre » par les assureurs.
- → Le groupe Lazarus, en Corée du Nord, utilise des rançongiciels et vole des cryptomonnaies pour financer des programmes étatiques. Il est responsable de l'attaque WannaCry (2017), qui a causé plus de 4 milliards de dollars de dégâts à l'échelle mondiale et a crypté 80 000 appareils du NHS (service national de santé britannique).
Groupes criminels organisés de ransomware (RaaS)
Le modèle « ransomware-as-a-service » a industrialisé la cybercriminalité. Des groupes comme LockBit, BlackCat/ALPHV, Cl0p et Royal fonctionnent selon des modèles d'affiliation, recrutant des spécialistes techniques, des négociateurs et des réseaux de blanchiment d'argent.
- → Demande de rançon moyenne des entreprises (2024) : 5 M$ à plus de 50 M$ . Coût total moyen d’un incident : 4,5 M$ pour les entreprises de taille moyenne, plus de 30 M$ pour les grandes entreprises.
- → Double extorsion : données cryptées ET exfiltrées. Les victimes risquent à la fois l’arrêt de leurs activités et la divulgation publique de données sensibles.
- → Triple extorsion : les attaquants contactent directement les clients, les partenaires, les organismes de réglementation et les médias, créant ainsi une pression indépendante de la réponse de l'organisation.
- → Le modèle RaaS signifie que les attaques sont désormais accessibles à des acteurs peu qualifiés — n'importe quel criminel peut louer l'infrastructure.
2.3 Vidéo : Résumé
2.4 Widget : Calculateur d'impact financier des ransomwares
3 Chapitre 3
3.1 Cinq études de cas majeures
Cinq études de cas majeures
Des incidents réels qui ont façonné la réglementation actuelle. Chacun d'eux recèle un enseignement direct pour la gouvernance au niveau du conseil d'administration.
1.3 Ce qui s'est passé et ses conséquences pour votre conseil d'administration
Cas n° 1 — Jaguar Land Rover : Arrêt de la production (2022)
Un ransomware a crypté les systèmes de technologie opérationnelle (TO) connectés aux lignes de production, interrompant la production dans plusieurs usines pendant plusieurs semaines. Impact financier : plusieurs centaines de millions. Leçon principale : la séparation physique entre les systèmes informatiques (SI) et les systèmes TO est en grande partie un mythe dans l’industrie connectée moderne. Une cyberattaque a paralysé des lignes de production physiques.
Votre organisation dispose-t-elle d'une politique de séparation OT/IT documentée et testée ? Le conseil d'administration a-t-il été informé des opérations physiques susceptibles d'être interrompues par un incident cybernétique ?
Cas n° 2 — British Airways : vol de données, amende de 20 millions de livres sterling au titre du RGPD (2018)
Un code JavaScript malveillant a permis l'exfiltration silencieuse des données de paiement et personnelles d'environ 500 000 clients pendant 62 jours, sans être détecté. L'attaque provenait d'un fournisseur tiers compromis, mais BA a assumé l'intégralité des sanctions réglementaires. Leçon principale : la responsabilité des tiers est votre responsabilité.
Cas 3 — Attaque de la chaîne d'approvisionnement mondiale de MOVEit (Cl0p, 2023)
Une faille de sécurité zero-day a été découverte dans le logiciel de transfert de fichiers MOVEit. Plus de 2 500 organisations ont été touchées, 83 millions d'enregistrements exposés. La BBC, British Airways, Shell, Boots et des agences fédérales américaines ont été compromises simultanément. Cette situation a déclenché des obligations de notification sous 72 heures dans des dizaines de juridictions.
Cas n° 4 — MGM Resorts : Ingénierie sociale, perte de plus de 100 millions de dollars (2023)
Des pirates ont contacté le service d'assistance informatique, usurpé l'identité d'un employé identifié via LinkedIn et demandé une réinitialisation de l'authentification multifacteur. L'ensemble de l'infrastructure technologique de MGM (machines à sous, cartes d'accès des hôtels, terminaux de paiement des restaurants, réservations) a été mis hors service pendant plus de 10 jours. Aucune faille technique sophistiquée n'a été exploitée. Un simple appel téléphonique a suffi à contourner tout le système de sécurité.
Cas n° 5 — SolarWinds : Chaîne d'approvisionnement entre États et nations (2020)
Le groupe étatique russe APT29 a compromis la chaîne de développement du logiciel SolarWinds Orion, diffusant un logiciel malveillant auprès de 18 000 organisations, dont le Trésor américain, le Département de la Sécurité intérieure (DHS) et Microsoft. L’attaque est restée indétectée pendant neuf mois. Il s’agit de l’attaque de chaîne d’approvisionnement la plus sophistiquée jamais connue, ciblant le processus de développement logiciel lui-même.