4La cybersécurité est un problème de plus en plus technique et pourtant la politique doit être impulsée par la direction générale et être pleinement intégrée à la gouvernance de l’entreprise.

« Nous sommes passés d’une dimension anecdotique avec les premiers virus développés à la fin des années 1970 à une menace internationale, multiple, structurée et organisée pouvant provoquer des dégâts considérables », constate le Cigref dans son rapport sur « Le Cyber Risque dans la gouvernance de l’entreprise » qui entend répondre à la question : « le cyber risque doit-il être débattu dans les plus hautes instances de gouvernance de l’entreprise, ou bien rester un sujet d’experts… »

Se prémunir contre le cyber-terrorisme peut être approché comme contacter une police d’assurance faisant la balance entre « la défense de ses principaux actifs face à des attaques cybercriminelles et le coût des mesures de cybersécurité » comme l’indiquait l’IFA (Institut Français des Administrateurs) qui considère que « les cyber menaces doivent être intégrées à la politique de gestion des risques et de gouvernance de l’entreprise ».

Le Cigref constate que l’engagement de la responsabilité des dirigeants semble avoir un impact moins important en France qu’aux Etats-Unis bien qu’ils y soient tout de même sensibles. Il est vrai que les avertissements de la CNIL sont de plus en plus difficiles à être ignorés. Mais alors comment introduire le sujet dans les comités exécutifs ?

Trop souvent, le sujet est encore trop souvent vu sous un angle technique alors qu’il est essentiellement organisationnel regrette le Cigref qui pousse sans doute le propos un peu trop car la cybersécurité est un problème de plus en plus complexe sur le plan technique. Et parfois un détour sur ces terrains est indispensable pour bien comprendre les enjeux et prendre les mesures nécessaires et adaptées. Même si le Cigref reconnait « cette grande complexité est liée à la nature changeante quasi permanente du risque dont les conséquences sont variées ».

La protection doit s’articuler autour de trois axes principaux :

  • Prévention et protection du SI et détection d’événements anormaux ;
  • Formation et sensibilisation des utilisateurs ;
  • Gouvernance, contrôle et audits.
10-cigref-1AMRAE = Association Management des Risques et des Assurances de l’Entreprise

En raison des sources multiples et de leur complexité, un traitement efficace des risques passera par une démarche par de nombreux intervenants : doit être coordonnée entre le Risk Manager, le DSI, le RSSI, le Chief Data Officer, le Data Protection Officer, le Directeur juridique, le Directeur des Ressources Humaines, le Directeur de la Stratégie… Et la liste n’est pas close et doit comprendre toute acteur jugé pertinent. Evidemment le Cigref raisonne en grande entreprise et ces différents postes peuvent être largement réduit à mesure que la taille de l’entreprise est plus petite.  Dans des PME modestes, ces différentes fonctions seront peut-être agrégées sur une seule personne qui peut être le responsable informatique ou le secrétaire général qui devient alors le seul interlocuteur du dirigeant de l’entreprise.

Outre la technicité croissante, une des difficultés de la cybersécurité est que la cartographie des risques est extrêmement changeante. Une des façons de surmonter cette difficulté est d’adopter une approche par les scénarios car elles « car elle permet d’anticiper les menaces pouvant avoir des impacts sur le business ». C’est là qu’intervient le RSSI qui, avec le DSI, a pour mission d’éclairer le Comex et le Conseil d’Administration sur les risques : les expliquer, les qualifier et les valoriser, à l’aide d’indicateurs pertinents. Sur ce point d’ailleurs, les entreprises sont loin d’être à l’unisson.

Le risque Cyber n’est plus un hypothétique danger c’est une véritable menace qui peut mettre à bas une organisation voire une Etat (voir encadré ci-dessous). « Le risque cyber doit être traité, analysé et bien positionné sur l’échelle des priorités dans l’esprit des dirigeants, en fonction de leurs enjeux business », conclut le Cigref.

Source : informatiquenews

Vous souhaitez évaluer votre entreprise face à la cybercriminalité  : Remplissez ce questionnaire, en quelques minutes vous obtiendrez le résultat de votre évaluation  face au risque Cyber

RiskAttitude peut vous accompagner dans la prévention et la protection de votre Système d’Information. N’hésitez pas, contactez-nous.