Titre: ESET : 6 étapes pour impliquer le conseil d'administration dans le programme de cyber-sécurité (11/10/2023 Par cda)
Le 11 octobre 2023 - Aux USA, les violations de données signalées au deuxième trimestre 2023, ont augmenté de 114 %. L’année va vers un nouveau record. En Europe, en 2022, l’ENISA (Agence de sécurité européenne) a mis en garde (ENISA warned in 2022) contre une recrudescence des exploits Zero Day, de rançongiciels en tant que service, de pirates informatiques pour compte d’autrui, d’attaques de la chaîne d’approvisionnement et d’ingénierie sociale. Ce problème est la tâche du RSSI. Mais pour que ce rôle soit efficace, il faut le soutien adéquat de la part du conseil d’administration. Il est donc important d’obtenir l’engagement et l’adhésion aux projets.
Il y a souvent un décalage entre les dirigeants d’entreprise et ceux en charge de la stratégie informatique et de la cyber-sécurité. En général, la perception de la sécurité est qu’il faut tenir à distance les cyber-menaces, mais pas beaucoup plus. De nombreux conseils d’administration considèrent encore l’informatique et la cyber-sécurité comme un coût nécessaire, mais pas comme une source de revenus – et certainement pas comme un catalyseur d’activité.
Même si Gartner prévoit (Gartner predicts) qu’en 2023 les dépenses mondiales en sécurité augmenteront de plus de 11 %, pour atteindre US$ 188 milliards, elles ne seront pas nécessairement dépensées à bon escient. Les conseils d’administration désengagés ont tendance à libérer du budget de manière fragmentaire et réactive, par exemple à la suite d’une violation. Cela peut conduire à de mauvais résultats et à une accumulation de solutions ponctuelles qui s'avèrent peu rentables.
Selon une étude, seuls 39 % des décideurs en sécurité pensent que les dirigeants de leur entreprise comprennent réellement le rôle de la cyber-sécurité dans la réussite de l'entreprise. 36 % affirment que la sécurité n’est envisagée que pour des raisons de conformité. Comment les RSSI et leurs pairs peuvent-ils mieux s'engager auprès des conseils d'administration pour obtenir une adhésion à long terme aux initiatives stratégiques ?
Voici six suggestions:
1) Parler le juste langage
La première étape vers un meilleur alignement de la cyber-sécurité c’est d’être compris. Parler non pas un langage de bits et d’octets et de détails technologiques complexes, mais de risques commerciaux. C’est plus facile pour impliquer les dirigeants du conseil d’administration et obtenir leur adhésion à une initiative stratégique. Leur dire qu’une attaque de rançongiciel peut mettre 200 serveurs hors ligne et ils se demanderont « Oui, et alors ? » Mais expliquez que cela peut entraîner une semaine d'arrêt avec un coût de 400 000 $ l'heure et leur réaction sera très différente.
2) Mesurer le risque et le rendre pertinent
Parler dans une langue comprise des deux parties revient à partager des données basées sur des mesures traduisant les informations de cyber-sécurité en mesures qui intéressent le conseil d'administration et l'entreprise. A prendre en compte sont les mesures qui montrent les performances et l’efficacité des contrôles de sécurité existants – pour illustrer les domaines dans lesquels les choses fonctionnent bien et les domaines à améliorer. Leur suivi ajoutera un impact supplémentaire, tout comme les comparaisons avec les références du secteur.
Lorsqu’on les présente au conseil d’administration, les choses doivent être simples et de haut niveau. Ne pas avoir peur d’utiliser des anecdotes de l’entreprise pour faire valoir son point de vue.
3) Promouvoir la sécurité à la conception et par défaut
Selon le Forum économique mondial (World Economic Forum) (WEF), 43 % des chefs d’entreprise pensent qu’une cyberattaque « peut affecter sensiblement » leur organisation au cours des deux prochaines années. Ils évaluent la gravité du cyber-risque, ce qui reflète un état d’esprit des conseils d’administration plus axé sur la canalisation des ressources vers les investissements quotidiens que stratégiques.
Le RSSI doit convaincre ses pairs d’envisager la cyber-sécurité de manière plus stratégique pour obtenir de meilleurs résultats. La sécurité à la conception et par défaut est la meilleure pratique promue par les régulateurs RGPD et autres. Cela signifie que les considérations de sécurité doivent être intégrées aux nouvelles initiatives ou produits commerciaux dès leur création, plutôt que d'y être ajoutées à la fin ou suite à un incident.
4) Se réunir plus souvent
Selon le WEF 56 % des RSSI se réunissent mensuellement ou plus souvent avec leur conseil d'administration. C’est un grand pas vers l’adhésion du conseil d’administration à la sécurité, compte tenu de la rapidité de l’évolution du paysage des menaces. Mais il y a beaucoup à faire pour promouvoir la compréhension mutuelle. Une solution: le RSSI doit dépendre directement du CEO – garantissant ainsi que ce dernier soit davantage exposé à la cyber-sécurité et que les responsables de la sécurité obtiennent un retour d'information plus direct.
5) Formaliser les programmes de cyber-sécurité
Trop de programmes de cyber-sécurité sont ponctuels et axés sur des aspects techniques. Ils doivent être correctement documentés, mesurés par rapport aux KPI pertinents et formalisés dans une structure top-down. Cela contribuera à consolider le rôle de la cyber-sécurité dans l’entreprise.
6) Embaucher des BISO
Le responsable de la sécurité commerciale (business information security officer BISO) est un rôle spécifique dans un département ou une unité commerciale, chargé d'assurer la liaison avec l'entreprise et l'équipe de sécurité. Ils contribuent à transformer une stratégie de haut niveau en étapes opérationnelles pratiques. Ils peuvent créer une culture de sécurité, à laquelle toute organisation devrait aspirer, dès la conception et prouver aux conseils d'administration sceptiques qu'il faut l’intégrer partout dans l'entreprise.
Conclusion
Selon le WEF, l’instabilité géopolitique a contribué à rapprocher les points de vue des RSSI et des conseils d’administration sur l’importance de la gestion des cyber-risques. 91 % de cette communauté mixte estime qu’un cyber-événement catastrophique et de grande envergure est probable dans les années à venir. Pour de nombreuses organisations, obtenir cet engagement et cette adhésion prendra des mois, voire des années. Et cela peut nécessiter un changement de mentalité non seulement de la part des chefs d’entreprise, mais aussi des RSSI.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Retour