Une récente étude publiée par l’institut Ponemon révèle que 70% des membres des comités de direction et conseils d’administration affirment avoir une bonne compréhension des risques de sécurité auxquels leur entreprise est confrontée. Une certitude partagée seulement par 43% des professionnels de l’informatique interrogés sur ce point. En cas de faille de sécurité, un tel écart de perception n’est pas sans conséquence, il est donc vital pour les organisations le réduisent autant que possible et fassent en sorte qu’il y ait une meilleure écoute entre les principaux intéressés sur ces questions à savoir les DSI, les Risk Managers et les membres du comité de direction.

Les comités de direction et conseils d’administration s’impliquent de plus en plus dans la définition de la stratégie de sécurité de leur organisation et permettent ainsi d’améliorer les bonnes pratiques dans ce domaine. La dernière étude de PwC le confirme également avec 45% des comités exécutifs pour qui les cyber-risques représentent une préoccupation clé. Dans ce contexte, les DSI, experts de l’informatique, et les Risk Managers, spécialistes de l’anticipation et du calcul des risques, jouent un rôle clé. Leurs expertises complémentaires peuvent en effet faciliter les prises de décisions stratégiques des comités de direction et des conseils d’administration dont la priorité est non seulement de comprendre les enjeux de sécurité, mais également d’être en mesure d’anticiper les risques avérés et quantifiés.

Malheureusement, à l’heure actuelle, ils ne sont pas assez écoutés car n’apportent pas de réponse précise sur le ROI des investissements de sécurité, ce qui en a fait longtemps le parent pauvre des organisations. Pour pallier cela, un travail d’accompagnement des comités de direction est nécessaire afin de renforcer leur attention sur les investissements de sécurité

Toutefois, les cyber-risques peuvent se révéler très techniques, et sans la formation appropriée, ce qui est le cas de nombreux membres du conseil, ce sujet peut être difficile à comprendre. Il est d’ailleurs tout aussi compliqué pour les personnes techniques de vulgariser les risques de sécurité auprès du conseil. Pourtant, la direction a besoin de ces connaissances afin de mesurer l’impact d’une faille sur la performance d’une entreprise et comprendre les problématiques soulevées par son DSI et son responsable de la gestion de risques.

En outre, le succès d’une stratégie de sécurité décidée lors de réunions au sommet repose sur la mise en œuvre de politiques simples et de bonnes pratiques auprès des employés, et permet ainsi de faciliter la vie du conseil en termes de conformité pour faire face aux cyber-menaces. Une organisation peut par exemple mettre en œuvre des systèmes conformes et certifiés pour surveiller les risques au quotidien, et intégrer des outils de partage de données sécurisés pour relayer les informations sensibles.

Il est également important de rappeler que les conseils d’administration et comités de direction sont responsables de l’application des bonnes pratiques avant de prendre une décision liée à la gouvernance ou à la sécurité ; la barre est haute, en particulier lorsque le coût induit par de telles actions peut impacter les résultats nets d’une entreprise. Le rôle du Risk Manager est ainsi essentiel car il peut justifier ces dépenses de sécurité et rassurer sur les investissements. Les entreprises doivent donc impérativement consolider la collaboration entre leurs comités de direction et leurs « conseillers » en informatique et en gestion de risques afin de se prémunir ensemble contre les cyber-menaces.

 

_________
Stéphane Tallieu est Directeur des Ventes pour la France de Diligent