5 conseils pour sensibiliser votre conseil d’administration à la cybersécurité
Alors que les cyberattaques deviennent un véritable sujet de préoccupation pour les entreprises, les RSSI doivent prendre en charge la considération de la sécurité par leur direction.
L’impact des cyber-attaques sur les résultats de l’entreprise est indéniable
La 3ème édition du baromètre annuel du CESIN (Club des experts de la sécurité de l’information et du numérique), souligne que « Pratiquement toutes les entreprises sondées affirment avoir été attaquées une ou plusieurs fois (92 %). Depuis un an, une sur deux constate une augmentation de 48 % du nombre d’attaques et, pour le quart d’entre elles, des impacts sur le business ont été ressentis : arrêt de la production, indisponibilité significative du site internet, perte de chiffre d’affaire… »
La transformation digitale et des usages numériques soumis au « Security by design »
Le développement ou l’utilisation de nouvelles applications en ligne, l’extension du périmètre réseau aux terminaux mobiles, le passage des données vers le Cloud sont autant des accélérateurs de business, que des vecteurs d’attaque potentiels pour les hackers.
La sécurité est un élément clé des projets de l’entreprise que la Direction doit soutenir par des investissements dans la formation des salariés, la formation continue des métiers IT aux technologies de la sécurité, et dans des technologies modernes de défense du réseau. Au-delà des aspects financiers, les dirigeants doivent transformer leur organisation afin de faciliter le dialogue et la coopération entre l’IT et les métiers pour que la sécurité fasse partie des projets communs dès l’expression de besoin et jusqu’au déploiement.
Développer vos arguments pour sensibiliser votre direction à la cyber sécurité
1 – Présentez des facteurs de risque pertinents pour votre entreprise. Votre conseil d’administration ne s’intéresse pas aux problématiques trop générales. Soyez précis. Quel est le risque pour votre entreprise ? Quelle cible est visée ? Un magasin ? Une Usine ? Où se situent les vulnérabilités actuelles ?
2 – N’hésitez pas à vous comparer à d’autres entreprises de votre secteur. Face à un conseil d’administration, il est important de présenter des problématiques en contexte. Votre entreprise n’est pas la seule à devoir réduire les risques, tout le monde est dans la même situation.
3 – Il est également judicieux d’indiquer le coût potentiel d’une violation de données face à un risque spécifique. N’oubliez pas d’y ajouter l’amende imposée par la réglementation RGPD si vous n’avez pas mis en place un système de sécurité adéquat.
4 – Présentez un scénario d’attaque informatique, par exemple, une attaque de ransomware sur un terminal. Expliquez comment votre stratégie de sécurité actuelle permettrait de traiter une telle attaque et comment vous pourriez limiter les dégâts avec des systèmes de sécurité plus efficaces. N’oubliez pas de préciser le délai de réaction, le délai de détection de la menace et les possibilités pour améliorer la stratégie actuelle. Encore une fois, indiquez le coût d’une panne et les frais engendrés pour supprimer les malwares.
5 – Présentez un rapport détaillé sur les investissements nécessaires et sur les attaques récemment subies. Des études montrent que près d’un quart des conseils d’administration sont insatisfaits de la qualité des rapports qu’ils reçoivent sur la Cyber Sécurité. Bien souvent, ces rapports ne comportent pas assez d’analyses comparatives et ne détaillent pas suffisamment les facteurs de risque qui concernent l’entreprise.
A vous de jouer et de convaincre maintenant !
Pour une connaissance approfondie des menaces et une analyse par secteur, vous pouvez consulter le rapport semestriel Cisco Cyber-Sécurité ici.
Tags:
