La sécurité doit devenir un réflexe métier

Share this post:

En matière d’incendie, lorsqu’on voit de la fumée et qu’on appelle les pompiers, il est presque déjà trop tard. Il en est de même en cyberdéfense. Pour permettre d’anticiper les incidents, les métiers qui sont en première ligne doivent être impliqués. Pour cela, le RSSI doit savoir traduire la complexité technique de son activité et de ses objectifs en langage métier.

Dès 1970, des ceintures de sécurité ont été systématiquement installées dans les voitures françaises. Il aura toutefois fallu attendre 1990 pour qu’elles deviennent obligatoires à l’avant comme à l’arrière d’un véhicule. Le temps de s’équiper… mais aussi de s’adapter au changement, la ceinture de sécurité ayant longtemps été accusée de tous les maux : chère, liberticide, voire dangereuse.

30 ans plus tard, les chiffres de l’OMS sont sans appel : réduction des décès de 50 %, 1 million de vies sauvées depuis 1960 en Europe et 50 milliards économisés par an rien qu’aux États-Unis.

En matière de sécurité informatique, l’histoire est un peu la même : pour l’instant, elle n’est pas encore devenue un réflexe. Et pourtant le nombre d’attaques et leurs conséquences financières connaissent une croissance constante.

Un enjeu bien compris… et pourtant

Le numérique est présent dans tous les pans de l’industrie. Avec l’épidémie du Covid-19, la digitalisation des entreprises est devenue plus que jamais un impératif. Dans le secteur de la supply chain par exemple, cela s’est traduit par une volonté de planifier plus régulièrement et d’interagir plus efficacement avec l’e-commerce. Quant au télétravail, il est subitement devenu la règle dans nombre d’entreprises. Ce qui a ouvert de nouvelles portes aux pirates informatiques.La transformation digitale est partout. Mais il faut s’assurer que cela ne se transforme pas en catastrophe. Les décideurs l’ont bien compris : l’Alliance Risk Barometer 2020 place la cybersécurité en première place des préoccupations des décideurs. Il y a 7 ans, elle pointait en 15^e position de ce classement.

La cybersécurité doit devenir un enjeu stratégique. Elle permet en effet d’éviter aux entreprises d’importantes pertes : pertes d’exploitation, bien sûr, mais aussi lourdes amendes en cas de fuite de données personnelles. Sans compter sur le fait qu’un piratage, une fois rendu public, va nuire durablement à l’image de l’entreprise.

La cybersécurité : savoir parler au ComEx

Tout comme la sécurité des personnes, la sécurité informatique doit prendre une dimension globale. Mais il faut pour cela que les RSSI montent en gamme et parlent le même langage que le ComEx. Comment avoir plus d’impact auprès du comité exécutif ?

1. En fournissant des données sur l’évolution des risques au sein de l’entreprise et par rapport à la concurrence ;
2. En chiffrant avec précision les conséquences de ces risques, en termes financiers et opérationnels ;
3. En proposant des solutions claires, techniques ou métiers, qui permettront de réduire ces risques.

Une fois les décisions prises, le RSSI va se charger de les mettre en application, puis un nouveau cycle démarrera avec une analyse de l’impact de ces mesures. Ce modèle est une boucle OODA (Observe, Orient, Decide, Act) seul à même de convaincre les décideurs, car elle permet de mesurer, chiffrer, convaincre, décider, puis d’évaluer l’impact des changements opérés. Cette spirale vertueuse participera à réduire le risque numérique.

En parlant métier, les RSSI ainsi que les DSI ne seront plus considérés seulement comme techniquement capables, mais comme des partenaires stratégiques de l’entreprise.

Passer des scénarios techniques à des scénarios métiers

Prenons l’exemple du phishing, « cyberproblématique » classique. Lors de sa communication avec le ComEx, le RSSI doit tout d’abord donner des informations sur l’évolution récente de ces attaques dans l’entreprise, chiffrer les dégâts constatés et potentiels, puis proposer des solutions techniques et métiers : par exemple la mise en place d’un nouvel outil de filtrage, qui devrait réduire les risques de x %, accompagnée du lancement d’une action de formation, laquelle sera suivie d’une campagne de testing des salariés.

Autre sujet : l’application des correctifs de sécurité. Une course quasiment perdue d’avance, tant ils deviennent nombreux. Plutôt que tenir un discours technique, le RSSI doit s’attacher à présenter des réponses simples et concrètes : la mise en place d’un outil d’automatisation permettant de redonner du temps aux équipes IT, ou le basculement d’applicatifs vers le cloud, au sein duquel l’aspect mises à jour sera pris en charge directement par l’hébergeur.

Le défi est plus important qu’il n’y parait pour les RSSI. Ils doivent en effet faire le pont entre métiers et technique :

• en comprenant les métiers et leurs besoins ;
• en sachant se montrer pédagogues, pour convaincre les métiers ;
• en restant compréhensibles sur les actions menées et leurs impacts.

Mais plus que tout, la transparence est de mise. Il ne faut pas avoir peur d’opérer des tests d’intrusion, même – et surtout – s’ils mènent à découvrir des failles techniques internes. Le ComEx découvrira peut-être que le RSSI et la DSI ne sont pas infaillibles : certaines attaques seront couronnées de succès. Pas de drame : elles ne feront que renforcer le bien-fondé d’une stratégie de sécurité globale et solide.

La cybersécurité : un enjeu global

Objectivement, le but de la cybersécurité est de garantir que la digitalisation ne coûte pas plus cher que ce qu’elle rapporte. Pour cela, il est impératif que le RSSI prenne sa place au sein des directions métiers, et que chaque collaborateur puisse se saisir du sujet. Lorsqu’il est question de sécurité des personnes, c’est l’affaire de tous et non celle de la seule DRH. Il en va de même avec la cybersécurité : l’application des bonnes pratiques doit devenir pour tous un réflexe aussi évident que celui de boucler sa ceinture !