Tous connectés, tous impliqués, tous responsables

mardi, 05.02.2019

Marie de Fréminville*

La cybersécurité est l’affaire de tous!

  • Suffit-il d’avoir trouvé la perle rare: un excellent RSSI (responsable de la sécurité des systèmes d’information)? Comment interagit-il avec le business et les fonctions support? Comment est-il «connecté» au comité exécutif et au conseil d’administration?
  • Comment les entreprises interagissent-elles avec les fournisseurs, les clients, les partenaires, les prestataires informatiques et les opérateurs?

Trouver des partenaires de confiance, assurer la résilience de l’entreprise avec des ressources et des budgets limités, protéger des données stratégiques et personnelles sont les défis des responsables de la cybersécurité, dans un contexte de réduction de coûts, d’automatisation et d’optimisation.

Pour garantir leur indépendance, les directeurs de cybersécurité sont souvent rattachés, selon les structures, au secrétaire général, au directeur de la sûreté, au directeur des risques, ou au directeur général, et non au DSI, en charge de la transformation numérique.

Le directeur de cybersécurité est l’interlocuteur du comex, du conseil d’administration, parfois via le comité d’audit et des risques, et l’informe sur l’exposition de l’entreprise aux risques, les incidents et les dispositifs à mettre en place. 

Son périmètre est large, puisqu’il s’occupe de l’ensemble des systèmes d’information: industriels, gestion, commerciaux, mais également de la protection des sites, et de l’entreprise étendue: fournisseurs, sous-traitants, prestataires, filiales dans l’ensemble des pays où le groupe a déployé des activités (les PME qui n’échappent pas à la numérisation et n’ont pas toujours les moyens suffisants, pour assurer la sécurité de leurs opérations: il y a des «cyber-morts» parmi les entreprises.

Ses missions sont multiples, et s’inscrivent dans l’objectif de développer et maintenir la confiance numérique que les parties prenantes (clients, fournisseurs, employés, actionnaires, partenaires...) accordent à l’entreprise, ses produits et ses services.

  • Protéger les informations de l’entreprise stratégiques, financières, personnelles, mais aussi intervenir dès la conception (privacy & security by design). 
  • Conseiller le business dans le développement d’applications et de services qui permettent de développer des activités numériques et de créer de la valeur, en devenant un partenaire de confiance pour les clients traditionnels et de nouveaux clients.
  • Contribuer à la conformité, notamment dans le cadre du RGPD ou dans le cadre de la directive NIS.
  • Etablir la synthèse des cyber-risques, en relativisant les différents risques: un manque de sécurité dans les systèmes industriels peut avoir des conséquences beaucoup plus graves pour l’entreprise qu’une fuite de données non stratégiques ou non sensibles!

En matière de cybersécurité, il est essentiel que chacun assume ses responsabilités. Néanmoins, il faut filtrer les informations qui remontent au comex ou au conseil d’administration. 

Il est essentiel qu’il soit bien informé des projets, et impliqué par les directions opérationnelles et fonctionnelles (par exemple les achats, les fusions/acquisitions), pour pouvoir amener une vision transversale et 360°, ajuster les stratégies et plans d’action, après avoir mesuré l’efficacité des dispositifs.

Il s’appuie sur une chaîne de RSSI au sein de l’entreprise (branches, filiales), établit la politique de sécurité applicable dans le groupe, la diffuse, et s’assure qu’elle est appliquée en lien avec la direction de l’audit interne.

Le maillon fort est l’humain, qui peut être aussi le maillon faible: tous doivent être formés, du haut en bas, et de bas en haut!

Certaines entreprises ont intégré le directeur de la cybersécurité au comité exécutif, comme d’autres entreprises ont créé un comité numérique au conseil d’administration.

*Marie.defreminville@starboard-Advisory.com





 
 
 

AGEFI

Rafraîchir cache: Ctrl+F5 ou Wiki



...