L’intégration de la cybersécurité dans la culture d’entreprise commence avec le RSSI et la direction.

cybersecurity-corporate-cisoLégende : Oops. Dans les 3 prochaines secondes, une séquence d’évènements va se lancer et cela pourrait coûter à votre entreprise plus de 250 millions de dollars !

La direction est tiraillée entre deux possibilités. D’une part, elle sait que le principal moyen d’accroître les parts de marché est l’innovation et la technologie est le facteur clé de l’innovation. Mais d’un autre côté, la technologie présente des risques élevés. Une mauvaise gestion de la cybersécurité peut détruire la réputation et la valorisation d’une entreprise.

Dans un article de la Harvard Review ‘Cybersecurity Is Every Executive’s Job’ (lien ci-dessous), les auteurs citent une étude cybersécurité de la BAE sur 300 managers américains. 85 % ont déclaré que les dommages sur la réputation étaient leur préoccupation n°1 suite à une cyber-attaque et 74% ont indiqué que la mise en jeu de leur responsabilité légale était le risque n°2.

Bien sûr, les coûts directs n’ont pas besoin d’être mis en évidence. Piratage de Target = 250m $. La banque de Bangladesh = 100m $. Le coût global du piratage concernant les entreprises sera de 2 100 000 000 000 dollars chaque année jusqu’en 2019, selon une recherche de Juniper.

Mais le pire aspect de la cybersécurité pour la direction est de comprendre le risque auquel elle est exposée. Les chefs d’entreprise utilisent des données tangibles appelés les indicateurs clés de risque. Pourtant, dans le même article de la Harvard Review, 40% des cadres de niveau C ont admis qu’ils ne disposent pas d’une compréhension claire des protocoles de cybersécurité utilisés au sein de leur propre entreprise.

Quelle est la première étape pour trouver une solution ? Pour beaucoup de dirigeants, il faut mettre en évidence le rôle des RSSI ainsi que de comprendre les indicateurs clés de risque

Pourquoi le RSSI doit prendre rendez-vous avec le conseil d’administration.

Le PDG de SecludIT, Sergio Loureiro, nous rapporte que le problème de nombreux RSSI pour remonter les informations est que leurs indicateurs clés de risques sont trop techniques et difficilement compréhensibles. « Pour les cadres en charge des fonctions de vente, finance et informatique, des résultats positifs ont pu être mesurés. ¨Par exemple, les ventes ont augmenté de X%, l’EBE de Y% ou la disponibilité du réseau a augmenté de Z%. Mais pour les RSSI, leur succès est mesuré par l’absence de quelque chose qui impacterait négativement l’entreprise. Cette mesure est contre intuitive pour beaucoup de manager. Il existe toujours le doute que « avec ou sans lui, de toute façon il ne se serait rien passé de mal ».

Dans le blog post intitulé « Comment le RSSI peut travailler avec la direction pour définir le niveau de risque de la cybersécurité », Help Net Security (lien ci-dessous) rapporte qu’un RSSI a besoin de développer une politique de cybersécurité adaptée à chaque fonction au sein de l’entreprise. Par exemple, la finance veut éviter les litiges et les pertes tandis que l’équipe informatique veut maximiser la disponibilité de leurs ressources informatiques.

Pour citer HelpNetSecurity : « La stratégie de cybersécurité de chaque entreprise doit être holistique. Le RSSI joue un rôle essentiel dans le respect de la sécurité de l’entreprise, mais c’est seulement avec un engagement combiné et le soutien de tous les managers que l’entreprise arrivera à ses fins.« .

Le fondateur de SecludIT ajoute : « La coopération inter départements est la clés pour mener à bien un stratégie cybersécurité holistique. La direction a besoin d’être en accord avec les besoins en terme de cybersécurité de son entreprise pour prendre les mesures nécessaires au bon fonctionnement de chaque département. »

Pour en savoir plus sur les relations à mettre en place entre RSSI et direction, rendez-vous sur

l’article intégral ici

Leave a Reply