Sécurité des entreprises
Comment les RSSI et leurs pairs peuvent mieux s’engager auprès des conseils d’administration pour obtenir une adhésion à long terme aux initiatives stratégiques
11 octobre 2023
•
,
4 minutes. lire
Construire un monde numérique plus sûr nécessite d’agir sur plusieurs fronts. Des initiatives comme Mois de sensibilisation à la cybersécurité (CSAM) sont d’excellentes opportunités pour rappeler au grand public les bonnes pratiques importantes pour gestion des mots de passe, correctif de vulnérabilité et plus. Mais même si cela peut contribuer à rendre la vie plus difficile aux cybercriminels ciblant les consommateurs, cela reste une opportunité d’attirer l’attention des chefs d’entreprise sur les cyber-risques.
Aux États-Unis, là était une augmentation trimestrielle de 114 % de violations de données signalées publiquement au deuxième trimestre 2023, plaçant l’année sur la bonne voie pour un autre record. En Europe, l’agence de sécurité de l’UE L’ENISA avertie en 2022 d’une recrudescence des exploits Zero Day, des ransomwares-as-a-service, des hackers pour compte d’autrui, attaques de la chaîne d’approvisionnement et l’ingénierie sociale. S’attaquer à ce problème est en fin de compte la tâche du RSSI. Mais pour que ce rôle soit efficace, il a besoin du soutien adéquat de la part du conseil d’administration. C’est pourquoi il est si important d’obtenir l’engagement et l’adhésion aux projets.
Vers un alignement du conseil informatique
Il y a souvent une sorte de décalage entre les dirigeants d’entreprise et ceux en charge de la stratégie informatique et de la cybersécurité. D’une manière générale, la perception en matière de sécurité est qu’il est nécessaire de tenir à distance les cybermenaces, mais pas beaucoup plus. Autrement dit, de nombreux conseils d’administration considèrent encore l’informatique et la cybersécurité comme un coût nécessaire, mais pas comme une source de revenus – et certainement pas comme un catalyseur d’activité.
Le résultat final est que même si Gartner prédit Si les dépenses mondiales en matière de sécurité et de gestion des risques augmentent de plus de 11 % en 2023, pour atteindre 188 milliards de dollars, elles ne seront pas nécessairement dépensées judicieusement. Les conseils d’administration désengagés ont tendance à libérer du budget de manière fragmentaire et réactive, par exemple à la suite d’une violation. Cela peut conduire à de mauvais résultats et à une accumulation de solutions ponctuelles qui, en fin de compte, s’avèrent peu rentables.
En fait, selon une étude, seuls deux cinquièmes (39 %) des décideurs en matière de sécurité estiment que les dirigeants de leur entreprise comprennent réellement le rôle que joue la cybersécurité dans la réussite de l’entreprise. Une part similaire (36 %) affirme que la sécurité n’est envisagée que sous l’angle des exigences de conformité. Alors, comment les RSSI et leurs pairs peuvent-ils mieux s’engager auprès des conseils d’administration pour obtenir une adhésion à long terme aux initiatives stratégiques ?
Voici six suggestions :
La première étape vers un meilleur alignement des cyberentreprises doit être comprise. Cela signifie parler non pas d’un langage de bits et d’octets et de détails technologiques complexes, mais d’un langage de risque commercial. Il sera ainsi plus facile d’impliquer les dirigeants du conseil d’administration et d’obtenir leur adhésion à une initiative stratégique spécifique. Dites-leur qu’une attaque de ransomware pourrait mettre 200 serveurs hors ligne et ils pourraient se demander « et alors ? Mais expliquez que cela pourrait entraîner un temps d’arrêt d’une semaine a un prix de 400 000 $ l’heure et la réaction sera très différente.
- Mesurer le risque et le rendre pertinent
Converser dans une langue que les deux parties comprennent revient en partie au partage de données basées sur des mesures qui traduisent les informations de cybersécurité en mesures qui intéressent le conseil d’administration et l’entreprise. Les domaines à prendre en compte sont les mesures qui montrent les performances et l’efficacité des contrôles de sécurité existants – pour illustrer les domaines dans lesquels les choses fonctionnent bien et les domaines qui doivent être améliorés. Leur suivi au fil du temps ajoutera un impact supplémentaire, tout comme les comparaisons avec les références du secteur.
Lorsque vous les présentez au conseil d’administration, veillez à ce que les choses soient simples et de haut niveau. Mais n’ayez pas peur d’utiliser des histoires anecdotiques de l’entreprise pour faire valoir votre point de vue.
- Promouvoir la sécurité dès la conception et par défaut
Selon le Forum économique mondial (WEF), 43 % des chefs d’entreprise pensent qu’il est probable qu’une cyberattaque « affectera sensiblement » leur organisation au cours des deux prochaines années. S’il est positif qu’ils apprécient la gravité du cyber-risque, cela reflète également un état d’esprit des conseils d’administration de plus en plus axé sur la canalisation des ressources vers les investissements quotidiens plutôt que stratégiques.
Le RSSI doit persuader ses pairs au sommet d’envisager la cybersécurité de manière plus stratégique, et ainsi obtenir de meilleurs résultats. La sécurité dès la conception et le défaut est la meilleure pratique promue par les régulateurs RGPD et autres. Cela signifie que les considérations de sécurité doivent être intégrées aux nouvelles initiatives ou produits commerciaux dès leur création, plutôt que d’y être ajoutées à la fin ou, pire encore, après un incident.
Plus de la moitié (56 %) des RSSI se réunissent désormais mensuellement ou plus souvent avec leur conseil d’administration, selon le WEF. Il s’agit d’un grand pas en avant vers l’adhésion du conseil d’administration à la sécurité, surtout compte tenu de la rapidité avec laquelle le paysage des menaces évolue. Il reste cependant beaucoup à faire pour promouvoir la compréhension mutuelle. Une solution consiste à garantir que le RSSI rend compte directement au PDG – garantissant ainsi que ce dernier soit davantage exposé à la cybersécurité et que les responsables de la sécurité obtiennent un retour d’information plus direct de la part de l’entreprise.
- Formaliser les programmes de cybersécurité
Trop de programmes de cybersécurité sont ponctuels et axés sur des aspects techniques. Au lieu de cela, ils doivent être correctement documentés, mesurés par rapport aux KPI et aux mesures pertinents et formalisés dans une structure descendante. Cela contribuera à consolider le rôle de la cybersécurité dans l’entreprise.
Le responsable de la sécurité des informations commerciales (BISO) est un rôle spécifique au sein d’un département ou d’une unité commerciale, chargé d’assurer la liaison avec l’entreprise et l’équipe de sécurité. Ce faisant, ils contribuent à transformer une stratégie de haut niveau en étapes opérationnelles pratiques. Ainsi, ils peuvent créer cette culture de sécurité dès la conception à laquelle toute organisation devrait aspirer et, ce faisant, prouver aux conseils d’administration sceptiques que la sécurité doit être intégrée dans chaque partie de l’entreprise.
Conclusion
Selon le WEF, la récente instabilité géopolitique a contribué à rapprocher les points de vue des RSSI et des conseils d’administration sur l’importance de la gestion des cyber-risques. Aujourd’hui, 91 % de cette communauté combinée estime qu’un Cyber-événement catastrophique et de grande envergure est quelque peu probable au cours des deux prochaines années. Mais il reste encore du chemin à parcourir. Pour de nombreuses organisations, obtenir cet engagement et cette adhésion si importants au sein du conseil d’administration prendra des mois, voire des années. Et plus important encore, cela peut nécessiter un changement de mentalité non seulement de la part des chefs d’entreprise, mais aussi des RSSI.
