Le professionnel de la securite a voix au chapitre dans le conseil d’administration

Share this post:

Étude IBM : un quart des organisations ont déjà un CISO (Chief Information Security Officer)

Les organisations sont de plus en plus confrontées au vol et au piratage de données, et ces délits prennent sans cesse plus d’ampleur. Une étude d’IBM menée auprès des professionnels et directeurs de la sécurité dans 7 pays révèle que la responsabilité de la sécurité se déplace de la base vers le conseil d’administration. Désormais, une nouvelle fonction existe dans un quart des organisations : Chief Information Security Officer (CISO). Un tiers des 75 pour cent d’organisations restantes n’ont pas encore le budget et le dynamisme suffisants pour une telle politique de sécurité.

Dans près de 25 pour cent des organisations, le CEO s’intéresse plus que jamais aux questions de sécurité. Ces organisations ont une politique de sécurité fortement développée et sont bien préparées pour parer aux menaces externes. Les CISO de ces organisations recherchent une approche coordonnée des questions de sécurité. Ces organisations ont aussi des points communs : la responsabilité du budget de la sécurité est partagée entre le CIO, le CEO et le CISO, elles ont une culture consciente des risques et mesurent les progrès.

Responsabilité budgétaire partagée
Près de deux tiers des personnes interrogées s’attendent à ce que les budgets de la sécurité augmentent dans les deux prochaines années. Dans la majorité des organisations sondées, la responsabilité du budget de la sécurité incombe encore exclusivement au CIO. Mais les organisations qui ont une politique de sécurité fortement développée et qui sont bien préparées pour contrer les menaces abordent la sécurité d’une façon de plus en plus stratégique. Il y a autant de chance de voir la sécurité gérée par le CEO que par le CIO, et un CISO est plus souvent en poste dans ces organisations. 71 pour cent de ces organisations ont un poste budgétaire spécialement dédié à la sécurité. Les entreprises ne disposant pas d’un budget suffisant (27 pour cent) affichent une politique de sécurité trop peu développée, elles sont moins bien préparées pour parer aux menaces, et elles abordent plus fréquemment les questions de sécurité d’une façon ad hoc et fragmentée.

Jens Wymeersch, Leader IBM Security Systems Benelux : « Les administrateurs devraient accorder au moins autant d’importance aux TIC et à la sécurité qu’à une bonne gestion financière. Les organisations les plus performantes de notre enquête montrent qu’une approche stratégique de la sécurité revêt une importance capitale dans le conseil d’administration. »

Une culture consciente des risques
Avec l’arrivée du CISO, la sécurité n’est plus un thème ad hoc : elle est de plus en plus abordée durant les réunions du conseil d’administration et fait partie de la culture d’entreprise. De ce fait, on se focalise sur la formation dans l’ensemble de l’organisation, la collaboration et la communication des thèmes liés à la sécurité. Les CISO sont intégrés dans toute l’organisation, avec comme conséquence qu’ils ont non seulement leur mot à dire au niveau stratégique, mais qu’ils peuvent aussi exercer une influence directe sur les décisions relatives aux produits et services.

Mesurabilité
De plus, les CISO recourent deux fois plus souvent à des instruments de mesure afin de suivre les progrès réalisés. Lorsqu’ils cherchent à développer une culture consciente des risques, les CISO contrôlent comment concrétiser la conscience des risques au sein de l’organisation et surveillent le déroulement des programmes éducatifs. En outre, ils mesurent l’intégration des nouvelles technologies et étudient en permanence la manière dont l’organisation peut gérer au mieux les risques en matière de sécurité. Les instruments de mesure corrects et normalisés soutiennent les CISO et leur permettent de se concentrer sur les risques plus larges liés au système de l’organisation.