Bonnes pratiques et expertises IT
Rechercher

Sécurité : « Si la direction générale n’est pas convaincue, il ne se passera rien »

Sécurité : « Si la direction générale n’est pas convaincue, il ne se passera rien »

« La cybersécurité est devenue un sujet stratégique pour les comités exécutifs. Les administrateurs de société, outre les résultats financiers, s’intéressent principalement à trois sujets majeurs : la stratégie de l’entreprise, la gestion des risques et la conformité. Sur ces trois sujets, la problématique cybersécurité est centrale.

Tout d’abord, dans le domaine de la stratégie d’entreprise, on ne raisonne plus sans penser à la transformation numérique et la manière de sécuriser les actifs numériques de l’entreprise est au cœur de ces réflexions stratégiques.

Faire face aux hyper risques

Ensuite, on constate que le risque cyber est devenu, pour les entreprises et les organisations publiques, un hyper-risque, de nombreuses études le montrent. Enfin, sur le plan de la conformité, dans de nombreux secteurs, toujours plus nombreux, la cybersécurité est devenue un enjeu de conformité essentiel, on le voit, par exemple, avec le RGPD ou la directive européenne NIS (Network and Information Security), qui va accroître le nombre d’opérateurs d’importance vitale.

Par conséquent, la cybersécurité conditionne directement la compétitivité des entreprises, la performance des administrations et, de fait, la croissance de l’économie. Le Cigref a publié, en octobre 2016, un rapport consacré aux « cyber risques dans la gouvernance de l’entreprise », dans lequel nous avons formulé des recommandations pour que le couple RSSI-DSI mette en place une stratégie de communication vers les dirigeants afin d’aborder ce sujet. Car si la direction générale n’est pas convaincue de l’intérêt de se positionner avec force sur la problématique de cybersécurité, il ne se passera rien, quelle que soit la qualité des spécialistes de cybersécurité ou le positionnement du RSSI dans l’organigramme.

Ne pas privilégier un discours technique

Pendant longtemps, la sécurité des systèmes d’information a été abordée sous un angle technique : mais, vis-à-vis d’un comité exécutif, cette approche n’est pas pertinente ! Il convient de trouver le moyen de parler de ce sujet sans « perdre » un Comex ou un conseil d’administration, ce qui n’est pas simple !

Comment faire ? Le couple DSI-RSSI doit, avant tout, élaborer des éléments de langage, afin d’adapter les connaissances techniques à un dialogue avec une direction générale. Le Cigref a lancé plusieurs initiatives pour aider les DSI dans cette démarche, notamment un Cercle Cybersécurité et des groupes de travail pour aborder des sujets, tels que l’assurance cyber, la notation des entreprises et la géopolitique des menaces. Par ailleurs, un groupe de travail va élaborer un tableau de bord générique de la cybersécurité pour les Comex.

A moyen et long terme, les entreprises vont devoir davantage s’intéresser à trois sujets majeurs. Le premier concerne la filière industrielle de la cybersécurité. Aujourd’hui, l’essentiel des produits et solutions de sécurité utilisés dans les entreprises sont d’origine américaine, ce qui ne satisfait personne. Certes, les fournisseurs français proposent des solutions performantes, mais qui ne sont pas toujours adaptées aux besoins de groupes mondiaux.

Quels impacts réglementaires ?

Le deuxième sujet est d’ordre réglementaire, ce qui pèse de plus en plus dans les budgets des entreprises. On peut ainsi se poser la question : ce poids réglementaire européen n’obère-t-il pas la compétitivité des entreprises sur les marchés mondiaux ? Il serait pertinent de considérer que ces exigences réglementaires soient des opportunités pour créer, au niveau mondial, à partir de l’Europe, des services numériques performants et innovants. Pour l’heure, c’est encore un vœu pieux...

Troisième sujet majeur : la sécurité « by design », pour prendre en compte la sécurité dans tous les projets IT. Jusqu’à présent, on a tendance à concevoir les SI comme si l’on construisait des voitures dépourvues d’organes de sécurité, à charge pour l’utilisateur d’acquérir ces accessoires de sécurité. Les DSI comprennent que l’on ne peut plus fonctionner de cette manière, d’autant que l’agilité et le DevOps entrent en force dans les grandes entreprises. Pour les DSI, c’est un vrai enjeu de mettre en œuvre les méthodologies, les processus et les organisations, pour produire des solutions qui répondent à ces préoccupations de sécurisation. »

Pour en savoir plus

Cyber risque dans la gouvernance de l'entreprise, rapport Cigref, 2016. www.cigref.fr

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Nos Ouvrages

  • Best Practices Spotlight 
Atlas - Édition 2018

    L’Atlas du DSI regroupe tous les sujets publiés dans le cadre du service de benchmarking et de veille Best Practices Spotlight. L’Atlas du DSI propose des articles synthétiques pour rester à l'état de l'art, des chiffres-clés pour se benchmarker, des argumentaires pour convaincre les métiers, des bonnes pratiques à partager avec vos équipes et des résumés d'études que vous n'avez jamais le temps de lire.

  • Best Practices
Mises en œuvre

    Cette première édition des Best Practices mises en oeuvre regroupent des recommandations, des conseils et des méthodologies issues de retours d'expérience de DSI et de l'expertise de nos équipes. La centaine d'articles retenus abordent la stratégie et le management du SI, la gestion de projet, la valorisation de la DSI, le sourcing et le pilotage de la DSI.

  • Best Practices Revues et Corrigées - Édition 2017

    Cet ouvrage regroupe tout ce qu’il faut savoir pour manager les systèmes d’information. Chaque thème est traité en trois parties. D’abord, une présentation de la « Best Practice », qui en explique la genèse, les développements et les principes. Ensuite, un regard critique, qui met en exergue les points faibles, les éléments de débat et de controverse.

A ne pas manquer

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris