Si les RSSI en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques.

Les échanges entre les RSSI et leur direction générale concernant la notification des attaques s’avèrent tendus. C’est ce que montre une enquête que vient de publier Palo Alto Networks qui établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.

Pour vivre heureux, vivons cachés. La maxime est encore plus vraie en ce qui concerne les affaires de sécurité. Les entreprises n’aiment pas en parler. Et si elles le font ce n’est que contraintes et forcées. C’est là une publicité qu’elles souhaitent soigneusement éviter sans parler des problèmes de responsabilités que les failles de sécurité ne manquent pas de poser.

Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’Union européenne sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.

Pour autant, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyber-incident, ils avouent, pour la majorité (60 %), qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9 % seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.

Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :

– Perplexité des hauts responsables sur les questions de sécurité
Après une faille de sécurité, près du tiers (32 %) des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.

– La sécurité est un sujet de conversation délicat
Si la moitié des professionnels de la sécurité informatique (51 %) ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, le reste (49 %) a davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause (28 %), que la faute est imputable à un fournisseur (23 %) et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir (21 %).

– Impliquer la direction risque de se retourner contre eux
Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.

– La législation européenne ne fait qu’accroître les tensions managériales en interne
Près de la moitié des professionnels de l’informatique (47 %) s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si la majorité (63 %) voit d’un bon œil l’impact de cette législation, les participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner (56 %). Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci (30 % des cas) ou au manque de temps du professionnel de l’informatique (27 %), il est évident que d’immense défis restent à relever.


Les conseils de Palo Alto Networks aux RSSI

La sécurité est une question humaine et d’organisation mais c’est aussi une question hautement technique. Et les spécialistes n’arrivent pas toujours à sortir de leur bulle jargonneuse et à expliquer les enjeux dans des termes compréhensibles par leur direction générale. Ci-dessous quelques conseils :

– Réussir à parler un même langage : Nombre de hauts responsables ont des difficultés à appréhender le cyber-risque. Faites-en sorte qu’ils parviennent à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :

– Dans le cadre de votre stratégie de prévention, associez ces dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité ; ils pourront ainsi mesurer pleinement les problématiques et les risques.

– Insistez sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, gardez à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.

Les incidents sont inévitables, alors préparez-vous à les affronter. Sachez néanmoins que vous pouvez éviter nombre d’entre eux en vous recentrant sur certains principes clés, en tirant parti de l’automatisation, en misant sur la formation et en privilégiant la prévention.