La cybersécurité est un problème de plus en plus technique et pourtant la politique doit être impulsée par la direction générale et être pleinement intégrée à la gouvernance de l’entreprise.

« Nous sommes passés d’une dimension anecdotique avec les premiers virus développés à la fin des années 1970 à une menace internationale, multiple, structurée et organisée pouvant provoquer des dégâts considérables », constate le Cigref dans son rapport sur « Le Cyber Risque dans la gouvernance de l’entreprise » qui entend répondre à la question : « le cyber risque doit-il être débattu dans les plus hautes instances de gouvernance de l’entreprise, ou bien rester un sujet d’experts… »

Se prémunir contre le cyber-terrorisme peut être approché comme contacter une police d’assurance faisant la balance entre « la défense de ses principaux actifs face à des attaques cybercriminelles et le coût des mesures de cybersécurité » comme l’indiquait l’IFA[1] qui considère que « les cyber menaces doivent être intégrées à la politique de gestion des risques et de gouvernance de l’entreprise ».

Le Cigref constate l’engagement de la responsabilité des dirigeants semble avoir un impact moins important en France qu’aux Etats-Unis bien qu’ils y soient tout de même sensibles. Il est vrai que les avertissements de la CNIL sont de plus en plus difficiles à être ignorés. Mais alors comment introduire le sujet dans les comités exécutifs ? Trop souvent, le sujet est encore trop souvent vu sous un angle technique alors qu’il est essentiellement organisationnel regrette le Cigref qui pousse sans doute le propos un peu trop car la cybersécurité est un problème de plus en plus complexe sur le plan technique. Et parfois un détour sur ces terrains est indispensable pour bien comprendre les enjeux et prendre les mesures nécessaires et adaptées. Même si le Cigref reconnait « cette grande complexité liée à la nature changeante quasi permanente du risque dont les conséquences sont variées ».

La protection de l’ensemble doit s’articuler autour de trois axes principaux :

  • Prévention et protection du SI et détection d’événements anormaux ;
  • Formation et sensibilisation des utilisateurs ;
  • Gouvernance, contrôle et audits.
10-cigref-1AMRAE = Association Management des Risques et des Assurances de l’Entreprise

En raison des sources multiples et de leur complexité, un traitement efficace des risques passera par une démarche par de nombreux intervenants : doit être coordonnée entre le Risk Manager, le DSI, le RSSI, le Chief Data Officer, le Data Protection Officer, le Directeur juridique, le Directeur des Ressources Humaines, le Directeur de la Stratégie… Et la liste n’est pas close et doit comprendre toute acteur jugé pertinent. Evidemment le Cigref raisonne en grande entreprise et ces différents postes peuvent être largement réduit à mesure que la taille de l’entreprise est plus petite.  Dans des PME modestes, ces différentes fonctions seront peut-être agrégées sur une seule personne qui peut être le responsable informatique ou le secrétaire général qui devient alors le seul interlocuteur du dirigeant de l’entreprise.

Outre la technicité croissante, une des difficultés de la cybersécurité est que la cartographie des risques est extrêmement changeante. Une des façons de surmonter cette difficulté est d’adopter une approche par les scénarios car elles « car elle permet d’anticiper les menaces pouvant avoir des impacts sur le business ». C’est là qu’intervient le RSSI qui, avec le DSI, a pour mission d’éclairer le Comex et le Conseil d’Administration sur les risques : les expliquer, les qualifier et les valoriser, à l’aide d’indicateurs pertinents. Sur ce point d’ailleurs, les entreprises sont loin d’être à l’unisson.

Le risque Cyber n’est plus un hypothétique danger c’est une véritable menace qui peut mettre à bas une organisation voire une Etat (voir encadré ci-dessous). « Le risque cyber doit être traité, analysé et bien positionné sur l’échelle des priorités dans l’esprit des dirigeants, en fonction de leurs enjeux business », conclut le Cigref.

 


Piratage informatique pour influencer les élections américaines

La Russie essaye d’influencer les élections américaines de novembre en faveur de Donald Trump, a accusé dimanche Hillary Clinton lors du deuxième débat présidentiel du dimanche 9 octobre. La Maison Blanche a accusé vendredi la Russie d’essayer d’interférer, grâce à des piratages informatiques, dans le processus électoral américain. Selon la candidate démocrate, les autorités et experts américains s’accordent à penser que ce piratage informatique a bel et bien été orchestré par les services de renseignement russes.


 

 


La cybersécurité doit être traitée à sa juste place dans la gouvernance de l’entreprise, de manière transversale et en liaison avec toutes les parties prenantes (Top management, Comités d’audit, Directions Métiers, Ressources Humaines, Juridique, Audit et Risques, et bien sûr DSI). Ce risque polymorphique va continuer d’évoluer, et les dispositifs associés à la gestion de ce risque devront plus que jamais être questionnés, challengés par les décideurs pour les adapter à la réalité du moment et à l’évolution de la menace.

(…) Il est très probable que, dans un futur proche, les DSI et les RSSI soient régulièrement questionnés sur la mise en place de mesures proportionnées de gestion du risque cyber et challengés en Comex sur la pertinence des dispositifs en place.

Jean-Jacques Tourre
Pilote du groupe de travail
Responsable Cybersécurité Groupe – Total


 

[1] Institut Français des Administrateurs : Administrateurs indépendants, administrateurs exerçant des fonctions exécutives, administrateurs représentant l’Etat, le personnel ou les actionnaires salariés…de la diversité des profils et des parcours de ses membres naissent la richesse des échanges et l’amélioration des pratiques professionnelles.