Selon Diligent, un spécialiste mondial des logiciels de gestion de la gouvernance, risque et conformité (GRC), les organisations françaises doivent disposer d’une stratégie et d’une feuille de route claires afin de limiter les risques d’attaques cyber. « Les mesures de sécurité développées par les entreprises ne sont généralement pas assez robustes. Des stratégies innovantes sont nécessaires pour relever les nouveaux défis de la cybersécurité » explique à Solutions-Numériques Matthieu Chollet, directeur commercial chez Diligent France. Il ajoute : « La plupart des entreprises ne veulent pas passer du temps à se protéger contre les cyberattaques. Les plateformes de gouvernance numérique sécurisées les aident à protéger leurs données et leur réputation grâce à de bonnes pratiques, ce qui leur permet de prendre les bonnes décisions. ». Voici son expertise.
La gouvernance moderne est vitale pour assurer une croissance, et pour permettre à l’organisation de s’adapter à tous les défis, crises ou opportunités, avec flexibilité et un sens de l’opportunité.
La gouvernance moderne, c’est quoi ?
La gouvernance moderne, c’est l’évolution des pratiques des conseils d’administration et des directions pour assurer l’intégrité financière, la confiance des investisseurs, l’engagement des parties prenantes et une performance durable et viable, alimentée par une technologie pertinente.
-
Vers une approche descendante de la cybersécurité – collaboration CIO/DSI avec le conseil et dirigeants, casser les silos
-Élaborer et mettre en œuvre un cadre pour le risque cybernétique
Pour permettre aux conseils d’administration de s’engager efficacement dans la gestion du cyber-risque, les équipes de direction doivent élaborer et mettre en œuvre un cadre de gestion. Il peut y avoir deux aspects à cela.
->Tout d’abord, un cadre technique qui aligne l’organisation sur les normes de cybersécurité telles que NIST, ISO, SOC2 et/ou les normes pertinentes pour le secteur dans lequel l’entreprise opère. Ce cadre doit fournir le contexte des données et des systèmes dont disposent l’organisation et ses partenaires clés, ainsi que leur mode de fonctionnement et d’interaction.
->Deuxièmement, un cadre pour la gouvernance du cyber-risque et la manière dont il est géré dans l’entreprise. Ce cadre doit intégrer la surveillance des cyber-risques et les stratégies de gestion des cyber-incidents et doit être dirigé par une personne disposant d’une autorité inter-organisationnelle. Muni de ce cadre, le conseil d’administration est mieux placé pour fixer une tolérance significative au cyber-risque.
-
Pour ce faire, la collaboration et la transparence entre un conseil et son DSI est primordiale.
->Les conseils d’administration doivent pouvoir s’assurer que la cyber-stratégie de l’entreprise est alignée avec le nouvel environnement commercial et les cyber-menaces d’aujourd’hui. Mais pour y parvenir efficacement, il faut une collaboration entre le CISO, les dirigeants et l’équipe de gouvernance. En réalité, l’importance d’une approche descendante est évidente. Les conseils d’administration et les directions générales doivent montrer l’exemple et faire avancer l’agenda de la cybersécurité dans leurs organisations. Les RSSI doivent s’assurer que la cybersécurité a sa place à la table du conseil d’administration pour discuter de sujets tels que la sécurité des nouvelles technologies utilisées actuellement, l’impact du travail à domicile, la manière de gérer l’accès des utilisateurs, etc. Il est essentiel que l’information circule librement pour informer les directeurs des risques et de la manière dont vous les atténuez.
->Il convient également de se demander quels types de mesures et de rapports sont susceptibles d’intéresser le conseil d’administration. Le conseil a-t-il besoin de connaître l’état de la gestion des vulnérabilités ? Que veulent-ils savoir ? Les principaux risques. Comment traduire les paramètres techniques en un langage facile à digérer détaillant les risques commerciaux et opérationnels.
-
Education continue des employées et le conseil d’administration
Le risque cybernétique est un risque comme un autre, et les entreprises ne réussissent que si elles prennent des risques calculés, qu’il s’agisse de savoir avec qui faire du commerce, à quels clients accorder des lignes de crédit ou quels nouveaux marchés pénétrer. En outre, il est également naïf de penser qu’une organisation peut avoir une approche de tolérance zéro en matière de cyber-risque. Le message doit être que la cybersécurité est l’affaire de tous, de la cyber-hygiène personnelle consistant à rester vigilant face aux tentatives d’hameçonnage et à ne pas utiliser de canaux non sécurisés pour les communications confidentielles, à la technologie antivirus avancée alimentée par l’IA déployée par l’équipe de cybersécurité. Il s’agit d’un mariage de personnes et de processus, et le risque existe à l’interaction des deux. Les administrateurs doivent soutenir le côté humain de la cybersécurité en approuvant des pratiques de gestion des données sûres dans tous les domaines de l’organisation et en veillant à ce que leurs propres communications soient protégées et soutenues par une technologie sécurisée de gouvernance du conseil.
-
Mettre en place une réponse aux cyberattaques avec un gestion de crise d’un cyber attaque – renouveler et revoir souvent
Si l’entreprise bénéficie d’un plan pour répondre à ces situations, elle a un avantage inestimable. Si ce n’est pas le cas, il lui faudra se réunir et mettre en place un plan de réponse incluant la technologie et les partenaires pour être prête le moment venu.
-
Avoir des outils sécurisés pour la communication confidentielle
La technologie a un rôle essentiel à jouer. Face à l’augmentation des menaces, de quelle nouvelle technologie avez-vous besoin pour vous en prémunir ? Il peut s’agir de garantir un canal de communication sécurisé pour les administrateurs afin d’éviter les tentatives d’hameçonnage par des moyens non sécurisés, ou d’un logiciel permettant de sensibiliser vos administrateurs aux risques de cybermenaces, ou même un logiciel qui vous permet de communiquer quand votre entreprise a été cyberattaquée.
Les organisations qui souhaitent adopter le numérique doivent rechercher un fournisseur qui sera également leur partenaire en matière de meilleures pratiques.