Bonnes pratiques et expertises IT
Rechercher

Sécurité : « Si la direction générale n’est pas convaincue, il ne se passera rien »

Sécurité : « Si la direction générale n’est pas convaincue, il ne se passera rien »

« La cybersécurité est devenue un sujet stratégique pour les comités exécutifs. Les administrateurs de société, outre les résultats financiers, s’intéressent principalement à trois sujets majeurs : la stratégie de l’entreprise, la gestion des risques et la conformité. Sur ces trois sujets, la problématique cybersécurité est centrale.

Tout d’abord, dans le domaine de la stratégie d’entreprise, on ne raisonne plus sans penser à la transformation numérique et la manière de sécuriser les actifs numériques de l’entreprise est au cœur de ces réflexions stratégiques.

Faire face aux hyper risques

Ensuite, on constate que le risque cyber est devenu, pour les entreprises et les organisations publiques, un hyper-risque, de nombreuses études le montrent. Enfin, sur le plan de la conformité, dans de nombreux secteurs, toujours plus nombreux, la cybersécurité est devenue un enjeu de conformité essentiel, on le voit, par exemple, avec le RGPD ou la directive européenne NIS (Network and Information Security), qui va accroître le nombre d’opérateurs d’importance vitale.

Par conséquent, la cybersécurité conditionne directement la compétitivité des entreprises, la performance des administrations et, de fait, la croissance de l’économie. Le Cigref a publié, en octobre 2016, un rapport consacré aux « cyber risques dans la gouvernance de l’entreprise », dans lequel nous avons formulé des recommandations pour que le couple RSSI-DSI mette en place une stratégie de communication vers les dirigeants afin d’aborder ce sujet. Car si la direction générale n’est pas convaincue de l’intérêt de se positionner avec force sur la problématique de cybersécurité, il ne se passera rien, quelle que soit la qualité des spécialistes de cybersécurité ou le positionnement du RSSI dans l’organigramme.

Ne pas privilégier un discours technique

Pendant longtemps, la sécurité des systèmes d’information a été abordée sous un angle technique : mais, vis-à-vis d’un comité exécutif, cette approche n’est pas pertinente ! Il convient de trouver le moyen de parler de ce sujet sans « perdre » un Comex ou un conseil d’administration, ce qui n’est pas simple !

Comment faire ? Le couple DSI-RSSI doit, avant tout, élaborer des éléments de langage, afin d’adapter les connaissances techniques à un dialogue avec une direction générale. Le Cigref a lancé plusieurs initiatives pour aider les DSI dans cette démarche, notamment un Cercle Cybersécurité et des groupes de travail pour aborder des sujets, tels que l’assurance cyber, la notation des entreprises et la géopolitique des menaces. Par ailleurs, un groupe de travail va élaborer un tableau de bord générique de la cybersécurité pour les Comex.

A moyen et long terme, les entreprises vont devoir davantage s’intéresser à trois sujets majeurs. Le premier concerne la filière industrielle de la cybersécurité. Aujourd’hui, l’essentiel des produits et solutions de sécurité utilisés dans les entreprises sont d’origine américaine, ce qui ne satisfait personne. Certes, les fournisseurs français proposent des solutions performantes, mais qui ne sont pas toujours adaptées aux besoins de groupes mondiaux.

Quels impacts réglementaires ?

Le deuxième sujet est d’ordre réglementaire, ce qui pèse de plus en plus dans les budgets des entreprises. On peut ainsi se poser la question : ce poids réglementaire européen n’obère-t-il pas la compétitivité des entreprises sur les marchés mondiaux ? Il serait pertinent de considérer que ces exigences réglementaires soient des opportunités pour créer, au niveau mondial, à partir de l’Europe, des services numériques performants et innovants. Pour l’heure, c’est encore un vœu pieux...

Troisième sujet majeur : la sécurité « by design », pour prendre en compte la sécurité dans tous les projets IT. Jusqu’à présent, on a tendance à concevoir les SI comme si l’on construisait des voitures dépourvues d’organes de sécurité, à charge pour l’utilisateur d’acquérir ces accessoires de sécurité. Les DSI comprennent que l’on ne peut plus fonctionner de cette manière, d’autant que l’agilité et le DevOps entrent en force dans les grandes entreprises. Pour les DSI, c’est un vrai enjeu de mettre en œuvre les méthodologies, les processus et les organisations, pour produire des solutions qui répondent à ces préoccupations de sécurisation. »

Pour en savoir plus

Cyber risque dans la gouvernance de l'entreprise, rapport Cigref, 2016. www.cigref.fr

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Nos Ouvrages

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

  • La cybersécurité 
en 250 questions

    Les cyberattaques n’ont jamais occasionné autant de dégâts dans les entreprises. Et les perspectives n’encouragent pas à l’optimisme. Comment nmieux se protéger ? Ce guide pratique regroupe les 250 questions que doivent se poser les responsables sécurité, les DSI et les directions générales. Avec des
    réponses concrètes…

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris