En mai 2025, le Bureau du Commissaire australien à l’information (OAIC) a signalé avoir été notifié de 1 113 violations de données au cours de l’année 2024. Ces derniers chiffres indiquent une augmentation de 25 % par rapport aux 893 violations de données signalées en Australie en 2023. Il s’agit du total annuel le plus élevé depuis que les notifications de violation sont devenues obligatoires dans le cadre du programme de notification des violations de données (NDB) en 2018.
Ces chiffres rappellent brutalement aux organisations en Australie et ailleurs qu’elles doivent renforcer leurs mesures de cybersécurité ou risquer de faire les gros titres. De plus en plus d’entreprises s’appuient sur un modèle opérationnel numérique, utilisant divers systèmes et applications pour gérer leurs activités. De nos jours, ce ne sont plus seulement les employés de bureau qui sont équipés d’ordinateurs portables ; les tablettes et appareils mobiles sont utilisés par le personnel dans les hôpitaux, les magasins, les usines, les sites industriels et par les employés en déplacement. Cela permet aux entreprises de collecter des données et de communiquer avec le personnel où qu’il se trouve.
L’utilisation généralisée d’appareils mobiles et de tablettes par le personnel pour accomplir leurs tâches a rationalisé les processus opérationnels et fournit aux entreprises une mine de données pour appuyer la prise de décision, mais cela a également élargi la surface d’attaque pour les cybercriminels. Une simple erreur humaine comme laisser un appareil déverrouillé peut permettre à des données sensibles de tomber entre de mauvaises mains et compromettre les systèmes.
Bien que les entreprises ne puissent plus se passer de ces systèmes et appareils en raison des gains d’efficacité qu’ils apportent, les organisations doivent rester vigilantes et mettre en place des mesures pour gérer les risques cyber, résoudre les incidents cyber et se conformer aux réglementations sur la protection des données pour sécuriser les systèmes et protéger les données de l’entreprise.
Quels secteurs connaissent le plus de violations de données ?
Selon les derniers chiffres de l’OAIC, les cinq secteurs ayant connu le plus de violations de données en Australie comprennent la santé, le gouvernement, les services financiers, les services juridiques, comptables et de gestion, ainsi que le commerce de détail. Ces secteurs ont tendance à détenir beaucoup de données personnelles et, dans certains cas, des détails de paiement, ce qui en fait une cible privilégiée pour les cybercriminels. Ce sont également des secteurs où la plupart du personnel utilise un appareil numérique pour accomplir ses tâches, offrant aux cybercriminels plus de points d’accès et augmentant les risques d’erreurs humaines pouvant conduire à des violations de données.
Comment les organisations peuvent-elles réduire la probabilité des cyberattaques ?
Les entreprises peuvent réduire la probabilité que leurs systèmes soient compromis par des cyberattaques et des violations de données en établissant des processus efficaces de gestion des risques cyber, en mettant en œuvre des procédures de gouvernance et des contrôles efficaces, et en assurant une résolution rapide des incidents cyber. Voici 5 façons dont les organisations peuvent réduire la probabilité des cyberattaques.
1. Gestion des risques cyber
Pour gérer efficacement les risques cyber, les entreprises doivent établir un registre des risques cyber et surveiller activement les risques cyber, ce qui est mieux géré à l’aide d’un logiciel GRC. Chaque risque cyber doit être enregistré, catégorisé et évalué, et des indicateurs clés de risque (KRI) doivent être établis. Les niveaux de risque doivent être surveillés régulièrement par rapport aux KRI pour détecter les niveaux de risque croissants. Les niveaux de risque doivent être surveillés par le biais d’évaluations des risques cyber régulières et en surveillant toutes les données informatiques pertinentes. Si les entreprises utilisent un logiciel GRC pour gérer les risques cyber, ces solutions peuvent souvent s’intégrer à vos autres systèmes informatiques pour extraire des données dans la plateforme via des API afin de suivre les niveaux de risque basés sur des données opérationnelles en direct et des menaces réelles.
2. Contrôles
Une fois que l’ensemble des risques cyber sont identifiés et que les niveaux de risque sont surveillés, les entreprises doivent chercher à mettre en œuvre des contrôles pour s’assurer que les niveaux de risque restent dans l’appétence au risque souhaitée. Dans le cas des risques cyber, un contrôle peut être un logiciel de protection contre les malwares et les ransomwares, un pare-feu ou un chiffrement, une formation du personnel ou une politique d’utilisation informatique, ou encore une vérification ou une inspection régulière. Quels que soient les contrôles, ils devront être vérifiés et testés régulièrement pour s’assurer qu’ils sont efficaces pour atténuer le risque associé.
Les entreprises doivent régulièrement rendre compte de leur exposition aux risques cyber et de l’efficacité des contrôles, et traiter activement les niveaux de risque croissants ainsi que les contrôles défaillants ou inefficaces pour maintenir le risque dans leur appétence au risque souhaitée.
3. Gestion des incidents cyber
Dans un modèle opérationnel largement numérique, des incidents cyber et des violations de données se produiront, et c’est la façon dont les entreprises répondent et traitent ces incidents qui importe. Les entreprises doivent établir des voies de signalement claires pour que le personnel puisse enregistrer les incidents cyber et les violations de données, et des voies d’escalade claires doivent être définies.
De nombreuses entreprises utilisent les capacités de gestion des incidents au sein des logiciels GRC pour capturer, faire remonter et résoudre leurs incidents cyber. Le personnel utilise des formulaires en ligne pour enregistrer les incidents et peut facilement télécharger des photos, des preuves et des URL pour capturer toute l’étendue de l’incident. Les incidents sont automatiquement transmis aux parties prenantes concernées et les actions correctives sont capturées à l’aide de flux de travail de gestion des cas jusqu’à la résolution de l’incident. Les entreprises peuvent effectuer une analyse des causes profondes pour comprendre pourquoi les incidents se produisent, établir des rapports sur les causes et les conséquences, et mettre en œuvre des contrôles pour prévenir les occurrences futures.
4. Conformité aux normes de confidentialité des données et de cybersécurité
Pour garantir que l’organisation est alignée sur les protocoles modernes de cybersécurité, la plupart des entreprises doivent se conformer à une série de normes de confidentialité des données et de cybersécurité. Les cadres couramment adoptés comprennent ISO 27001, RGPD, CPS 234, NIST, NIS2 et Cyber Essentials, et il en existe beaucoup d’autres.
Pour assurer la conformité, les entreprises matures utilisent des logiciels GRC pour créer un registre des obligations, capturant chaque réglementation ou norme et ses exigences. Elles documentent ensuite les actions de conformité prises pour répondre à chaque exigence. Ces actions peuvent être une politique ou une procédure opérationnelle, des vérifications ou inspections régulières, ou encore des logiciels ou équipements de sécurité. La capture de ces étapes et processus vitaux aide les entreprises à atteindre la conformité avec chaque exigence.
Comme la plupart des entreprises doivent suivre les mêmes réglementations, de nombreuses plateformes de logiciels GRC proposent des cadres de conformité prêts à l’emploi pour aider les entreprises à aligner leurs processus sur les cadres de cybersécurité et de confidentialité des données largement utilisés, notamment ISO 27001, RGPD, CPS 234, NIST, NIS2 et plus encore. Ces cadres permettent aux entreprises de mettre en œuvre les vérifications et contrôles nécessaires pour aligner leurs processus sur les normes. Ces outils offrent également des flux de travail pour la gestion des changements réglementaires. Chaque réglementation est mappée aux processus, politiques et actions de conformité pertinents. Ainsi, lorsqu’une réglementation change, les entreprises peuvent facilement comprendre quelles politiques et procédures devront être modifiées, et elles peuvent documenter entièrement ce qui a été changé et quand, fournissant une piste d’audit complète pour les régulateurs.
5. Gestion des actifs cyber
Pour avoir une infrastructure informatique sécurisée, les organisations doivent s’assurer que leur matériel est à jour et que leurs licences logicielles sont à jour. Cela nécessite une gestion efficace des actifs cyber. Les entreprises doivent tenir une liste complète de leurs actifs cyber, leur permettant de surveiller l’utilisation, l’âge et les dates d’expiration. Non seulement cela aide les organisations à s’assurer que leur infrastructure informatique est suffisamment robuste pour répondre aux exigences modernes, mais cela aide également les équipes à budgétiser le remplacement des équipements vieillissants et à financer les renouvellements de licences.
Pourquoi la gestion des risques cyber doit être une priorité
Bien que les violations de données soient en augmentation, il existe de nombreuses façons pour les entreprises de renforcer leur posture de cybersécurité. En gérant efficacement les risques cyber et les risques technologiques avec les contrôles appropriés, en capturant et en résolvant rapidement les incidents cyber, et en assurant la conformité aux réglementations et normes de confidentialité des données, les entreprises peuvent réduire considérablement les chances d’une violation de données.
En mettant en œuvre un logiciel GRC et en gérant et atténuant efficacement les risques cyber, les entreprises peuvent être confiantes qu’elles font tout leur possible pour réduire la probabilité d’une violation de données ou d’une cyberattaque. Pour découvrir comment le logiciel GRC de Riskonnect peut aider votre organisation à identifier et atténuer les risques cyber et à mettre en œuvre des contrôles efficaces, demandez une démonstration.
