Web Analytics

Ne transformez pas vos directeurs en mini-CISO, mais assurez-vous que les cyber-risques sont gérables pour eux

Ne transformez pas vos directeurs en mini-CISO, mais assurez-vous que les cyber-risques sont gérables pour eux
Image de Pete Linforth via Pixabay
Opinion
par  Freddy Dezeure
publié le à Il y a 2j
6 min de lecture

Dans le cadre de la législation NIS2, les administrateurs d’une organisation doivent acquérir une meilleure compréhension des cyber-risques. Il s’agit certes d’une bonne initiative, mais les entreprises ne doivent pas se contenter d’un simple exercice de conformité. Freddy Dezeure, consultant indépendant et spécialiste expérimenté de la sécurité, dispense des formations aux administrateurs et aux conseils d’administration des entreprises. Il explique pourquoi il n’est pas judicieux d’envoyer le conseil d’administration dans un centre de formation universitaire et comment nous pouvons réellement réduire le fossé entre les administrateurs et les experts techniques.

Qu’il s’agisse de ransomwares créés par des organisations criminelles ou d’attaques lancées à partir de pays, le risque de cyberattaque n’a pas diminué ces derniers temps. Au contraire, les cybermenaces mettent en péril la continuité des entreprises, de l’économie et même de la société dans son ensemble. Pour les organisations, les cyberattaques représentent un risque plus important que, par exemple, un incendie ou une catastrophe naturelle.

La plupart des organisations sont confrontées à une cyberattaque une ou deux fois par an. Aucun processus d’entreprise ne peut fonctionner sans les TIC. L’interconnexion s’est également accrue au point qu’un incident a généralement des répercussions sur plusieurs acteurs de la chaîne. En outre, la technicité et la complexité d’un environnement informatique moderne exigent des compétences spécialisées qui sont difficiles à trouver sur le marché du travail. Tous ces défis font qu’il est d’autant plus frappant que la cybersécurité peine encore à s’imposer dans les conseils d’administration des entreprises.

Le fossé entre le conseil d’administration et le RSSI

En règle générale, la cybersécurité reste la responsabilité d’experts, tels que le RSSI. Cette situation est imputable à la fois à ces experts et à la direction de l’entreprise. La direction pense que la cybersécurité est un concept techniquement complexe qu’elle ne comprend pas. Les professionnels de la sécurité suivent le même raisonnement et pensent qu’ils sont les seuls à savoir ce que signifie la cybersécurité.

Le fossé entre les deux profils rend difficile le déploiement significatif de la cybersécurité et la transformation de l’organisation. En outre, dans de nombreuses entreprises, le RSSI est quelque peu caché dans la structure hiérarchique. Ce rôle est souvent situé deux niveaux en dessous du PDG, laissant le RSSI rendre compte principalement, par exemple, au DSI ou au DAF. Ainsi, les informations importantes ne parviennent pas suffisamment aux personnes qui doivent prendre des décisions stratégiques.

En outre, les rapports portent essentiellement sur l’état d’avancement des programmes et des processus. Ils ne disent pas grand-chose sur l’état réel de la cybersécurité dans l’organisation. Les RSSI doivent également en être conscients. Ils ne doivent pas penser qu’il leur suffit de disposer d’un budget pour faire leur travail. Pour limiter les risques, ils doivent pouvoir mesurer l’efficacité de leurs mesures d’atténuation des risques et rester en contact avec la direction.

Pas de formation académique

Les législations telles que NIS2 et DORA visent à changer cette situation en exigeant des administrateurs qu’ils suivent une formation et acquièrent une meilleure compréhension des cyber-risques au sein de l’organisation. Toutefois, nous ne voulons pas que la réglementation devienne un élément qu’il suffit de cocher pour être en conformité. Plutôt qu’une obligation, elle devrait être une occasion de mieux organiser l’entreprise. Cette dernière est impossible si nous envoyons les chefs d’entreprise dans des formations académiques ou théoriques.

Au lieu de donner des cours au PDG dans une salle de classe, il est préférable de réunir l’ensemble du conseil d’administration autour de la table. Le RSSI devrait également y participer afin d’améliorer le lien avec le conseil d’administration et de rendre la sécurité négociable à un niveau plus élevé. Une formation adaptée à l’organisation ne se penche pas sur des solutions standard, mais part des défis et de l’infrastructure de l’entreprise. Sur cette base, il est possible de définir des actions et de fixer des priorités.

Nos propres formations commencent donc toujours par une discussion avec le RSSI et d’autres parties telles que le chef du service juridique. Nous vérifions les mécanismes de reporting existants, identifions les points à améliorer et identifions les frictions qui entravent la relation entre le conseil d’administration et le RSSI. Ces frictions ne seraient jamais mises en lumière dans un environnement académique.

De la conformité à la résilience

Dans la plupart des cas, la formation commence par être une obligation pour le conseil d’administration. Pour attirer l’attention, nous soulignons d’abord les obligations légales et la responsabilité personnelle des membres du conseil d’administration. Nous précisons ensuite qu’aucun membre du conseil d’administration n’a besoin d’atteindre le niveau d’un RSSI ou de superviser des centaines d’audits. Dix contrôles critiques suffisent à établir un niveau solide de cybersécurité. Pensez à la gestion des actifs, aux sauvegardes, à l’authentification multifactorielle, etc.

Pour le conseil d’administration, il est instructif d’entendre qu’un nombre limité de mesures d’atténuation des risques a un impact disproportionné. Il ne s’agit pas ici d’une règle 80/20, mais plutôt d’une règle 98/2. Deux pour cent des mesures produisent 98 pour cent des résultats.

Le conseil d’administration n’est pas dans le même cockpit qu’un RSSI qui a besoin d’un tableau de bord avec des dizaines de boutons pour maintenir l’organisation en l’air. Pour le conseil d’administration, un cockpit différent suffira, comme celui d’un vaisseau spatial piloté en grande partie par des experts au sol. Une fois que les directeurs en formation l’ont compris, la cybersécurité passe d’une obligation à quelque chose qu’ils peuvent gérer. De quelque chose qu’ils doivent faire en raison de la législation à quelque chose qu’ils veulent faire en raison de leur activité. De la conformité à la résilience.

Après environ deux heures de formation, le conseil d’administration d’une entreprise envisage la cybersécurité d’une manière totalement différente. Le lien avec le RSSI est également renforcé, ce qui réduit l’écart et permet aux deux parties de parler des risques et des priorités de l’organisation de manière significative. La législation est donc une bonne incitation, mais nous ne devons pas la compliquer à l’excès. En fin de compte, toutes les entreprises font de la bonne cybersécurité, même sans réglementation.

Freddy Dezeure est l’un des orateurs principaux de Cybersec 2025 à Bruxelles. Il y donnera d’autres conseils sur la manière de rendre la cybersécurité négociable dans la salle du conseil d’administration et de réduire le fossé entre le conseil d’administration et le RSSI.

Plus
Actus boursières
Fil info
jeudi 5 octobre 2023
16:39 L'Amérique a exporté davantage en août
16:21 Le programme boursier
15:39 Saverys négocie une offre sur Euronav
15:12 Légère hausse des nouvelles inscriptions au chômage aux États-Unis
15:07 Wall Street devrait ouvrir en légère baisse
14:40 Mise à jour boursière: le Bel20 en légère hausse grâce à AB InBev
14:26 La CMB entend acquérir Euronav - Media
12:43 La FSMA suspend la cotation de l'action Euronav
12:20 Les marchés boursiers européens en baisse à la mi-journée
11:21 Mise à jour boursière: La bourse de Bruxelles maintient ses gains d'ouverture
Plus
18:32
Economie
Le PDG de Boeing donne la priorité à la sécurité plutôt qu’à la vitesse lors de son témoignage devant le Sénat
18:02
Economie
Le mois d’avril démarre avec des taux d’épargne plus bas
17:32
Economie
Jambon veut supprimer le bonus de pension dès que possible
17:00
Economie
La Russie restreint ses exportations de pétrole, ce qui affecte les expéditions du Kazakhstan
16:31
Economie
La Belgique va prolonger les allocations de chômage pour les étudiants dans les domaines à forte demande
Plus
Opinion
Ne transformez pas vos directeurs en mini-CISO, mais assurez-vous que les cyber-risques sont gérables pour eux
Opinion

Ne transformez pas vos directeurs en mini-CISO, mais assurez-vous que les cyber-risques sont gérables pour eux

Freddy Dezeure
Pourquoi la grève d’aujourd’hui est irréfléchie et irresponsable
Économie

Pourquoi la grève d’aujourd’hui est irréfléchie et irresponsable

Bart Van Craeynest
L’IA agentique est la solution idéale pour relever les défis du service client moderne
AI

L’IA agentique est la solution idéale pour relever les défis du service client moderne

Jan Verbrugghe
Doge ou pas Doge?
Opinion

Doge ou pas Doge?

Bart Van Craeynest
10 signaux d’alarme pour l’économie belge
Opinion

10 signaux d’alarme pour l’économie belge

Bart Van Craeynest
Que signifie le règlement européen sur la déforestation pour le secteur belge du cacao?
Opinion

Que signifie le règlement européen sur la déforestation pour le secteur belge du cacao?

Babette van der Spoel
Plus Opinion
06:00