AVIS d’EXPERT – Le conseil d’administration de chaque entreprise a un rôle unique à jouer dans la gestion des cyber-risques. Ses membres ne sont pas directement impliqués dans l’élaboration et la mise en œuvre quotidienne de la stratégie de cybersécurité, mais ils sont chargés de la surveillance et jouent un rôle de conseillers fiduciaires. Le point par Eddy Sifflet, expert cybersécurité chez Check Point Software.
En dépit de la complexité pour les membres du conseil d’administration à s’impliquer dans la gestion des cyber risques, il est essentiel qu’ils maintiennent cette question à l’ordre du jour. En effet, celle-ci peut avoir un impact significatif sur son activité, les données de ses clients, son activité commerciale, le cours de son action, sa réputation ainsi que d’autres aspects critiques. Ce sujet de discussion au sein du conseil d’administration n’est plus très nouveau, d’ailleurs des divergences de points de vue peuvent persister parmi les parties prenantes à la discussion. Cette situation peut entraîner des visions incohérentes de l’entreprise et des prises de décision insuffisantes voire à risque. Dans cet article, nous examinerons le fossé qui sépare les parties prenantes en matière de cybersécurité, les obstacles auxquels elles se heurtent le plus souvent, ainsi que la manière de relever et de surmonter les défis susmentionnés.
L’écart entre les parties prenantes
Moins de 50 % des membres du conseil d’administration communiquent régulièrement avec le RSSI. Près d’un tiers des membres du conseil d’administration n’échangent avec les RSSI que lors des conseils d’administration. En d’autres termes, les échanges entre ses dirigeants restent insuffisants pour faire évoluer la stratégie en matière de cybersécurité de manière significative. De plus, la conversation d’un RSSI avec le conseil d’administration reste trop concentrée autour de la protection contre les cyberattaques. On lui demande généralement s’il dispose d’une sécurité suffisante. Cependant, les études démontrent que les réflexions devraient plutôt se tourner vers la résilience opérationnelle. En effet, plutôt que d’axer la conversation sur les mécanismes de sécurité, il serait plus judicieux de focaliser celle-ci sur l’efficacité et la robustesse du modèle implémenté.
Améliorer la communication
Un RSSI peut avoir intérêt à faire office de conseiller impartial vis-à-vis des risques pour l’entreprise, plutôt que d’un expert technique sollicitant du budget supplémentaire. La création d’un écosystème qui encadre et prévient les risques cyber véhiculera un message plus pertinent auprès du conseil d’administration. Afin de démontrer l’intérêt de la cyber sécurité, les RSSI devraient utiliser un langage et des mesures présentant la cyber sécurité comme solution contre les pertes financières. Ils peuvent par exemple expliquer le retour sur investissement dans la suppression des menaces ou des vulnérabilités. De plus, il n’est pas recommandé pour les RSSI de véhiculer la peur, l’incertitude et le doute pour faire passer des messages ou emporter l’adhésion du conseil d’administration. Cette approche peut donner aux membres du conseil d’administration l’impression que les coûts de la sécurité sont excessivement élevés.
Créer une proximité plus forte (au-delà des réunions)
Pour atteindre leurs objectifs et trouver des alliés, les membres du conseil d’administration et les RSSI ou autres parties prenantes techniques concernées devraient pouvoir communiquer plus régulièrement et pas uniquement lors des conseils d’administration. Cela permettrait d’instaurer une confiance plus étroite entre ces parties et de clarifier les sujets évoqués. Ces échanges, qu’ils soient physiques ou virtuels et plus fréquents seraient de loin bien plus profitables pour l’entreprise.