Face à la montée des menaces, la cybersécurité s’est hissée en tête des préoccupations d’un nombre grandissant d’entreprises, dont les dirigeants craignent que des piratages et vols de données ne mettent en péril leurs perspectives de croissance, leurs résultats financiers et leur image de marque.
De plus en plus, le conseil d’administration (CA) veille à ce que soient mis en place de solides programmes afin de répondre à tout incident et à ce que le responsable de la sécurité des systèmes d’information (RSSI) leur fasse des points réguliers sur la cybersécurité.
Il est essentiel de prendre la question de la cybersécurité à bras-le–corps, au lieu de ne lui consacrer qu’un ou deux points dans une présentation destinée à une réunion du CA. Les administrateurs se voient en effet confier la responsabilité de protéger la société qu’ils servent. En outre, les litiges liés à la cybersécurité sont de plus en plus nombreux, et les législateurs et instances de réglementation paraissent prêts à renforcer la surveillance.
Tandis que le CA reconnaît qu’il incombe tant à la direction qu’au RSSI de protéger les données et applications de l’entreprise, il lui faut néanmoins vérifier un élément crucial pour la communication avec les experts informatiques, à savoir que les uns comprennent le langage des autres et vice versa. Or souvent, ce n’est pas le cas. Dans leur grande majorité, les administrateurs ne possèdent pas de compétences techniques, tandis que de nombreux RSSI ne parlent pas le langage des gestionnaires. Le CA comme les professionnels de la sécurité informatique doivent abandonner leur jargon et s’exprimer en langage courant, ce qui ne va pas de soi.
Dans les échanges entre les administrateurs et responsables informatiques, il est courant que le RSSI en train d’effectuer une présentation devant le CA bascule soudain dans le jargon informatique, égrenant un alphabet qui va de « asymétrique » (en parlant de cryptographie) à « zombie ». Les administrateurs, pour leur part, s’expriment trop souvent à la manière d’économistes ou de diplômés d’un MBA.
Le RSSI doit prendre conscience que les administrateurs souhaitent connaître en termes simples l’impact financier qu’aura un aspect technologique, qu’il s’agisse d’une faille ou d’une dépense de sécurité informatique. Ils désirent savoir quelles seront les conséquences si l’entreprise n’alloue pas à l’informatique davantage de personnel ou de budget pour renforcer son arsenal de cybersécurité. Dans le même temps, le RSSI doit pouvoir suivre une conversation entre les membres du CA.
Voici quelques conseils qui aideront les administrateurs et les RSSI à communiquer avec plus de clarté autour des aspects complexes de la cybersécurité.
Pour les administrateurs :
- Familiarisez-vous avec les bases des piratages informatiques et de la cybersécurité. Acquérez une connaissance suffisante pour pouvoir saisir ce que disent les responsables informatiques et posez leur des questions pertinentes. Ces informations peuvent provenir d’autres membres du conseil ayant plus d’expérience en la matière, de sites web consacrés à la sécurité ou bien de médias qui se font régulièrement l’écho du flux incessant de vulnérabilités.
- Renseignez-vous sur les pratiques courantes employées par les cybercriminels, espions et hacktivistes pour pénétrer dans une infrastructure informatique afin d’en extraire des données critiques, comme cela a été le cas lors des piratages de grande ampleur qui ont touché Anthem, Home Depot, Neiman Marcus, Sony et Target.
- Intéressez-vous à ce que font vos homologues dans le secteur où opère l’entreprise et observez vos concurrents ainsi que leur position en matière de sécurité.
- Efforcez-vous de comprendre les problèmes de conformité affectant ou susceptibles d’affecter l’entreprise dans les domaines de la sécurité et de la confidentialité. Un spécialiste des questions juridiques ou administratives au sein de la société devrait pouvoir vous y aider.
- Abstenez-vous de poser au RSSI une question binaire telle que « Sommes-nous sécurisé ? » Il est illusoire de penser qu’une entreprise quelle qu’elle soit puisse parvenir au risque zéro. Il n’existe en effet aucune garantie qu’un piratage de données ne se produira jamais. Demandez plutôt « Est-il possible de neutraliser les principales cybermenaces ? Sommes-nous en phase avec les pratiques du secteur en matière de sécurité ? Sommes-nous en conformité avec les réglementations et normes du secteur ? Comment s’est passée notre dernière simulation de réponse à un cyberincident ? »
Pour les RSSI :
- Sachant qu’une présentation devant le CA peut déclencher la panique, voire compromettre un projet ou une carrière si elle est mal faite, recherchez des conseils auprès d’experts tels que des analystes spécialisés et téléchargez des ressources appropriées, par exemple le dossier Gartner Executive Briefing Toolkit for Security Strategy.
- Ayez une vision stratégique et oubliez le jargon technique, par exemple en rapportant la valeur d’achat d’une technologie de sécurité à l’atténuation du risque, plutôt qu’en termes de ROI ou de TCO. Pour les membres du CA, la tolérance au risque, son atténuation, l’image de marque, l’interruption d’activité et la conformité sont des notions essentielles.
- Rédigez des rapports écrits courts, comportant de préférence moins de cinq pages, car les administrateurs sont submergés de documents à lire. Tenez compte de leur capacité d’attention et envisagez plutôt un bref diaporama.
- Pensez que les administrateurs vont poser des questions s’ils ne comprennent pas une diapo ou un graphique en particulier, par conséquent préparez des réponses pour différents scénarios, notamment pour les questions dont vous espérez qu’ils ne les posent pas. Evitez également de semer la crainte, l’incertitude et le doute. La crédibilité est cruciale.
En définitive, une grande part de la responsabilité d’une communication efficace repose sur les épaules du RSSI. Cependant les administrateurs ont eux aussi l’obligation de veiller à un dialogue ouvert, honnête et riche d’enseignements. Nous proposons une série de discussions informatives sur notre blog et espérons vous voir vous joindre à nous.