Retrouvez cette tribune de notre expert Benoit Grunemwald dans laquelle nous vous donnons des pistes concrètes pour aider au développement de la politique de sécurité cyber au sein de votre entreprise, TPE, PME ou organisation.
En 2022, l'Agence de sécurité cyber de l'Union Européenne, l'ENISA, lance une alerte face à l'augmentation des cybermenaces : exploits de type zero-day, rançongiciels, attaques dites de chaîne d'approvisionnement et ingénierie sociale. Ces menaces et risques, qui visent principalement les entreprises, relèvent de la responsabilité des RSSI (Responsables des Systèmes d'Informations).
Pour mener à bien sa mission, celui-ci doit bénéficier du soutien de son conseil d'administration et de son adhésion à long terme. De trop nombreuses entreprises et PME considèrent encore la cybersécurité comme un coût nécessaire, mais non comme une source de revenus, voire d'un avantage concurrentiel. Ce constat se retrouve notamment dans une étude menée auprès de 2000 professionnels de l'informatique.
Près de 40 % des responsables de la sécurité estiment que la direction de leur entreprise comprend vraiment le rôle que joue la cybersécurité dans le succès de l'entreprise. Une part similaire (36 %) affirme que la sécurité n'est envisagée que dans le cadre d'exigences réglementaires ou de conformité. Selon le Forum économique mondial (FEM), 43 % des dirigeants d'entreprise pensent qu'il est probable qu'une cyberattaque "affecte matériellement" leur organisation au cours des deux prochaines années.
Pour autant, cette prise de conscience n'implique pas d'actes forts et l'adoption de la cybersécurité. Quels sont les leviers que les RSSI et leurs pairs peuvent actionner pour que la cybersécurité soit considérée au niveau stratégique dans leur organisation ?
Découvrez nos 4 suggestions :
Parlez le même langage que vos responsables
La première étape pour un meilleur alignement cyber de l'entreprise consiste à être compris. Cela signifie parler un langage qui ne soit pas celui des bits et des octets et des technologies complexes, mais celui du risque métier ou financier. Convertissez les répercussions d'une attaque de rançongiciel mettant hors ligne 200 serveurs en chiffre d'affaires et temps d'indisponibilité, tout autant que d'insatisfaction client.
Lors de vos présentations à vos responsables, restez simple et concis. Mais n'hésitez pas à utiliser les expériences vécues par vos confrères pour faire passer votre message. De nombreuses attaques sont relayées dans les médias et des catastrophes sont évitées grâce à l'anticipation d'une attaque et d'une crise cyber, trouvez le bon exemple à suivre.
Introduisez la cybersécurité par défaut
Démocratisées par le RGPD, les notions de sécurité dès la conception et par défaut impliquent que les considérations de sécurité doivent être intégrées dès le début des nouvelles initiatives commerciales ou des produits, plutôt que d'être ajoutées à la fin, ou - pire encore - après un incident. Anticiper plutôt que subir permet de réduire les impacts lors de crises.
Rencontrez fréquemment le conseil d’administration
Plus de la moitié (56 %) des RSSI rencontrent mensuellement ou plus fréquemment leur conseil d'administration, selon le FEM. Il s'agit d'une première étape à la sensibilisation des plus hautes instances de votre organisation à la cybersécurité. Vous souhaitez aller plus loin, faites en sorte que le RSSI trouve une oreille attentive auprès du PDG, l'idéal étant d'y être directement rattaché.
Formalisez la cybersécurité auprès des métiers
Trop de projets embarquent la cybersécurité de manière informelle ou uniquement sous un aspect purement technique. Illustrez les bénéfices de la sécurité, incluez la cybersécurité aux indicateurs de performance clés et aux métriques des projets. Donnez de la visibilité et du sens aux efforts à produire pour atteindre un niveau de cybersécurité acceptable et accepté.
Conclusion
Dans de nombreuses organisations, obtenir l'adhésion et l'engagement tant recherchés de votre direction sera le fruit de mois, voire d'années de travail. Il est fort probable que des changements de mentalité soient nécessaires, non seulement de la part des dirigeants d'entreprise, mais aussi de certains RSSI.
Tribune signée par Benoit GRUNEMWALD
