Quelle gouvernance de la cybersécurité pour anticiper les risques et protéger son entreprise ?
Assurer la sécurité des systèmes d’information dans une grande organisation est un véritable défi.
Seule une bonne gouvernance est à même de rassurer la direction générale, les clients et partenaires, les actionnaires et in fine le grand public. Mais pour ce faire, plusieurs questions préliminaires doivent être abordées :
- Comment définir une gouvernance adaptée ?
- Quels sont les prérequis à sa mise en œuvre ?
- Et pourquoi est-il primordial de développer une vision opérationnelle claire ?
Whether you like it or not, cyber risk will only grow: it is already everywhere today, but with the digitisation of companies, this is only the beginning!
Construire une gouvernance de la sécurité
Aujourd’hui, sous l’effet de la transformation numérique et de la dématérialisation des processus physiques, les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes de leurs systèmes d’information. En parallèle, les menaces informatiques n’ont jamais coûté aussi cher, et le piratage s'élevait jusqu’à 45 milliards d’euros en 2018, selon une étude de l’organisation Online Society Alliance.
Des exemples marquants comme Altran ou Capital One en 2019 nous ont montré que ces cyberattaques pouvaient se montrer dévastatrices à la fois pour les données, notamment sensibles, des clients que pour le capital informationnel et financier de leur prestataire. Il est donc vital pour l’entreprise que les systèmes soient protégés. La cybersécurité répond à cet enjeu de protection et de confiance avec les clients et les prospects. Les dirigeants demandent et doivent avoir confiance dans le niveau de sécurisation de l’activité dont ils portent la responsabilité.
C’est pourquoi la gouvernance cyber est portée par un manager qui couvre l’ensemble des activités de l’entreprise. Selon l’organisation, ce pourra être un directeur de la sécurité des systèmes d’information (DSSI) par exemple. Ce manager a pour mission de sensibiliser les dirigeants des entreprises en fonction du contexte, de leur présenter les conséquences significatives que peut provoquer une cyberattaque pour l’activité de l’entreprise, sa valeur, ses actifs et sa réputation, voire de manière ultime sa survie, et de proposer des mesures adaptées pour couvrir ce risque.
Pour répondre à ces enjeux, les entreprises du numérique se doivent également de mettre en place une sensibilisation à 360 degrés, tant au sein de l’entreprise qu’auprès de leurs clients, avec comme objectif de construire un cadre sécurisé.
Sensibiliser les collaborateurs : une nécessité
Cette gouvernance de la sécurité ne peut, bien entendu, pas exister sans l’adhésion et l’investissement de tous et la sensibilisation des collaborateurs y tient une place centrale. L’humain, premier point de contact, est en effet à la base de 75% des problèmes de sécurité, selon une étude de Conscio Technologies, en 2016. Les différentes méthodes d’attaques informatiques exposent les collaborateurs à des risques de plus en plus fréquents qu’il convient de prévenir grâce à un accompagnement de chacun.
Cette sensibilisation pourra prendre par exemple la forme de micro-learning, via des capsules de formation rapides et nécessitant un temps d’effort bref sur la base du volontariat, et facilement accessibles sur un outil global de formation auquel la direction de la sécurité des systèmes informels peut ajouter des recommandations de bonnes pratiques en accès permanent.
Cette sensibilisation pourra également être descendante grâce à des bulletins d’alerte émis par la direction de l’entreprise aux collaborateurs afin de les prévenir d’une éventuelle menace et anticiper certains comportements à risque.
Accompagner et former les clients au cloud public
Cet enjeu de sécurité ne repose pas uniquement sur une sensibilisation interne aux entreprises du numérique. Ces dernières ont désormais un rôle nouveau d’accompagnement, corrélé au déploiement du cloud public comme socle technologique de nombreux nouveaux projets et de croissance. Source indéniable de nouvelles perspectives business, le cloud public, plus facile d’accès que les structures On Premise, ouvre aussi la porte à nouvelles failles de sécurité.
Pour de nombreuses structures, dont tout ou partie de l’activité repose sur le cloud, cette facilité d’accès et l’automatisation de nombreux paramètres riment avec sécurité, tandis que l’accès à Internet qui lui est propre démultiplie en réalité les possibilités de failles. Si vos clients sont dans cette même situation et que vous les accompagnez dans le déploiement de ce type de projets, vous avez un rôle de formation à ne pas négliger pour sécuriser l’ensemble de la structure. Appuyez-vous sur leur politique interne pour déterminer les manquements et les procédures à consolider et formez-les aux meilleures pratiques de sécurité informatique et de réponses adaptées face aux failles.
La construction de cette politique interne, fondée sur la sensibilisation et une gouvernance adaptée de la sécurité, est la pierre angulaire d’un système sécurisé, pour vous comme pour vos clients.
Un article de Majid Alla, DSSI et Matthieu Fouquet, Consultant Devops & Microsoft Azure publié dans LeMagIT