Comment impliquer le conseil d’administration dans le programme de cybersécurité

Les violations de données signalées au deuxième trimestre 2023, ont augmenté de 114 %, selon une étude (USA). L’année va vers un nouveau record. Ce problème est la tâche du RSSI. Mais pour que ce rôle soit efficace, il faut le soutien adéquat de la part du conseil d’administration. Explications.

En Europe, en 2022, l’ENISA (Agence de sécurité européenne) a mis en garde ontre une recrudescence des exploits Zero Day, de rançongiciels en tant que service, de pirates informatiques pour compte d’autrui, d’attaques de la chaîne d’approvisionnement et d’ingénierie sociale.

Du travail pour le RSSI ? Oui, mais il est important, pour elle ou lui, d’obtenir l’engagement et l’adhésion aux projets, notamment par le conseil d’administration, explique l’éditeur ESET dans une tribune postée en ligne. Et pour cause, il y a souvent un décalage entre les dirigeants d’entreprise et ceux en charge de la stratégie informatique et de la cybersécurité.

Le problème

En général, la perception de la sécurité est qu’il faut tenir à distance les cyber-menaces, mais pas plus. De nombreux conseils d’administration considèrent encore l’informatique et la cybersécurité comme un coût nécessaire, toutefois pas comme une source de revenus – et certainement pas comme un catalyseur d’activité.Même si Gartner prévoit qu’en 2023 les dépenses mondiales en sécurité augmenteront de plus de 11 %, pour atteindre près de 180 milliards d’€, elles ne seront pas nécessairement dépensées à bon escient.

Les conseils d’administration désengagés ont tendance à libérer du budget de manière fragmentaire et réactive, par exemple, suite à une violation. Cela peut conduire à de mauvais résultats et à une accumulation de solutions ponctuelles qui s’avèrent peu rentables.

Selon une étude, seuls 39 % des décideurs en sécurité pensent que les dirigeants de leur entreprise comprennent réellement le rôle de la cybersécurité dans la réussite de l’entreprise. 36 % affirment que la sécurité n’est envisagée que pour des raisons de conformité, explique ESET.

Les solutions

La première étape vers un meilleur alignement de la cybersécurité, c’est d’être compris. Parler non pas un langage de bits et d’octets et de détails technologiques complexes, mais de risques commerciaux. C’est plus facile pour impliquer les dirigeants du conseil d’administration et obtenir leur adhésion à une initiative stratégique. Leur dire qu’une attaque de rançongiciel peut mettre 200 serveurs hors ligne et ils se demanderont « Oui, et alors ? » Mais expliquez que cela peut entraîner une semaine d’arrêt avec un coût de 400 000 € l’heure et leur réaction sera très différente.

Parler dans une langue comprise des deux parties revient à partager des données basées sur des mesures traduisant les informations de cybersécurité en mesures qui intéressent le conseil d’administration et l’entreprise. À prendre en compte sont les mesures qui montrent les performances et l’efficacité des contrôles de sécurité existants – pour illustrer les domaines dans lesquels les choses fonctionnent bien et les domaines à améliorer. Leur suivi ajoutera un impact supplémentaire, tout comme les comparaisons avec les références du secteur.

Autre solution concrète : promouvoir la sécurité à la conception et par défaut. Selon le Forum économique mondial, 43 % des chefs d’entreprise pensent qu’une cyberattaque « peut sensiblement affecter » leur organisation lors des deux prochaines années. Ils évaluent la gravité du cyberrisque, ce qui reflète un état d’esprit des conseils d’administration plus axé sur la canalisation des ressources vers les investissements quotidiens que stratégiques.

Le RSSI doit convaincre ses pairs d’envisager la cybersécurité de manière plus stratégique pour obtenir de meilleurs résultats. La sécurité à la conception et par défaut est la meilleure pratique promue par les régulateurs RGPD et autres. Cela signifie que les considérations de sécurité doivent être intégrées aux nouvelles initiatives ou produits commerciaux dès leur création, plutôt que d’y être ajoutées à la fin ou suite à un incident.