Rechercher

Les cyber-risques sont des risques business : aider les dirigeants à comprendre la cybersécurité

cyber-risques

Le cyber-risque est un risque de taille. Les entreprises étant devenues extrêmement dépendantes de leurs actifs numériques, tout ce qui menace l’informatique menace leur survie. Les chefs d’entreprise doivent prendre conscience de l’ampleur de ce changement. La cybersécurité est désormais un sujet pour les responsables de la sécurité de l’information (RSSI) et les dirigeants.

Une contribution de Alain Sanchez, EMEA Field CISO chez Fortinet.

Évaluer les cyber-risques

Le rôle le plus crucial du RSSI est peut-être de classer les cyber risques par ordre d’impact réel. Cela nécessite une compréhension égale du business et de la technologie, ainsi que de la manière dont des objets qui n’ont pas été conçus pour être surs mais performants, se comportent en cas d’attaque. Ce n’est pas une tâche facile, et pas seulement pour des raisons technologiques.

Cette évaluation nécessite de comprendre les priorités au sein de la chaîne de valeur de l’organisation et de les sécuriser en conséquence. Le deuxième défi consiste à regarder au-delà de l’organisation pour évaluer l’influence des forces extérieures, comme la législation. Les lois protègent les humains, la propriété intellectuelle et la faculté d’inventer. De ce point de vue, les lois sont une excellente chose. Cependant, leurs exigences ne cessent d’augmenter, chaque gouvernement cherchant à faire mieux et plus sûr que les autres.

Cette dualité est un challenge pour les services informatiques. Ceux-ci doivent se demander : comment intégrer des considérations juridiques dans un système d’information dont le premier cahier des charges est la performance ? La solution est de commencer par le haut. Le comité exécutif doit garder cette dualité à l’esprit. Plus les administrateurs en savent sur les cyber-risques et les réglementations, mieux c’est. Si l’on prend l’exemple de la loi de l’Union européenne sur la résilience des opérations numériques (Digital Operations Resilience Act – DORA), elle est d’abord conçue pour les banques européennes. Toutefois, ses principes mettant le risque au centre des pratiques, peuvent être appliqués en dehors du domaine financier. Plus que jamais, il est essentiel que le conseil d’administration soit sensibilisé à la cybersécurité.

 

Atténuer les risques

Auparavant, la résilience était d’abord un concept technique. Il s’agissait de restaurer les services par ordre de criticité. Aujourd’hui, il s’agit d’une exigence légale à laquelle doit être associé un plan susceptible d’être vérifié. Nous sommes passés d’une série d’étapes techniques à un rétablissement contractuel des services critiques.  

Quatre types de considérations étayent ces plans :

  • Hiérarchisation : Il s’agit d’un classement délicat à établir pour des raisons de sensibilité interne des services concernés. Celui-ci n’a de chance d’être adopté que s’il est le fruit d’un échange régulier entre le conseil d’administration et l’équipe opérationnelle. L’appui visible et affirmé du conseil d’administration est crucial à cet égard. Sinon, qui qualifierait spontanément sa propre activité de « non critique » ? Aussi difficile soit-il à établir, ce classement est un exercice très instructif qui amène le RSSI et son équipe au cœur de l’entreprise.
  • Stratégies de défense : Il est essentiel d’évaluer la bonne combinaison de solutions, de services, de personnel et de processus. Dans ce domaine, le minimalisme doit être privilégié. Après des années d’accumulation, les équipes de sécurité ont réalisé que la simplicité était un gage de sécurité. La prochaine ère de la sécurité passera par la convergence et non par l’addition.
  • Proposer des options : Il s’agit de fournir des informations et un éventail de solutions parmi lesquelles le conseil d’administration prendra la décision. Il incombe au RSSI de proposer des scénarios sous la forme d’une série d’étapes documentées. C’est au conseil d’administration qu’il revient de choisir la marche à suivre. De cette manière, le RSSI met en œuvre une décision d’entreprise au lieu d’imposer un chemin de transformation qui va l’isoler et lui valoir d’être pointé du doigt au premier dysfonctionnement.
  • Leadership : Le RSSI doit rendre compte directement au Président. Les conséquences d’un soutien flou ou dilué vont au-delà de l’inconfort du poste ; la survie de l’entreprise est en jeu. En 2024 et au-delà, soumettre la cybersécurité à toute autre instance est une erreur de gouvernance.

 

La cybersécurité ne consiste pas seulement à éviter les icebergs. Il s’agit d’une approche holistique qui englobe toutes les dimensions en une plateforme intégrée. La superposition de technologies fussent-elles toutes excellentes, aboutissent à des architectures complexes, difficiles à analyser et à protéger. La question qui se pose alors n’est pas celle du million d’euros qui n’a pas été dépensé pour converger, mais celle des millions perdus lors d’une attaque.


À lire également : Extratex : expert dans les technologies des fluides supercritiques

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC