Se protéger contre la cyberattaque est-il dans vos propriétés ? Qu’avez-vous prévu ?

cybersécurité

Le mardi 4 novembre se réunissait via Zoom le premier Club « Digital et IT » d’X-PM organisé par Michel Dubosqueille et Arnaud de Lagabbe, Directeurs Associés. Le Club accueillait sous la forme d’une table ronde Angeles Garcia-Poveda, présidente du conseil d’administration de Legrand, Marie de Fréminville, associée fondatrice de Starboard Advisory et auteure de « La cybersécurité et les décideurs » et Cyrille Elsen, DSI de Serenicity et ancien DSI/RSSI de Casino, sur le thème de « La gouvernance de la Cybersécurité ».

Ils nous ont fait part de leur vision et de leurs réflexions.

 

Comprendre les impacts pour mieux se préparer aux cyberattaques

Pour Angeles Garcia-Poveda, les Conseils d’Administration sont sensibilisés au risque cyber mais ont besoin d’aborder le sujet sous un angle business plutôt que technique. Le conseil sera d’autant plus impliqué dans la gouvernance de la cybersécurité qu’il en comprendra les impacts sur l’activité de l’entreprise et sur son image. L’intensité de la transformation digitale renforce le besoin d’une gestion intégrée de la cybersécurité. Il appartient au responsable de la cybersécurité (RSSI/CISO) d’exprimer les risques de manière compréhensible par le conseil, pour que les bonnes décisions soient prises avec confiance. Le maître mot est anticipation.

La question n’est pas de savoir si l’entreprise sera victime d’une cyberattaque mais de s’y préparer avec des mécanismes de prévention et de réponse : Intégration des risques cybersécurité dans la gestion de crise de l’entreprise, interlocuteurs dédiés au conseil, information et formation des collaborateurs, effort permanent de mise à niveau des infrastructures.

 

Une menace réelle et un sujet stratégique pour les entreprises

Selon Marie de Fréminville, les conseils d’administration sous-estiment encore trop souvent les risques cyber. On parle aujourd’hui de cybercriminalité, avec des attaques organisées qui peuvent mettre à mort une entreprise.

Plusieurs exemples sont évoqués : un hôpital en Allemagne dont les patients sont mis en danger consécutivement à l’arrêt du système informatique, un armateur dont l’infection virale de tous ses postes de travail lui coûte plusieurs centaines de millions d’euros. Les dirigeants et administrateurs peuvent être poursuivis pénalement pour négligence ou délit d’initiés (Guide pratique – Publication IFA). Ils n’en sont pas toujours conscients.

La gouvernance de la cybersécurité doit être clairement positionnée dans l’un des comités du conseil et gérée comme un sujet stratégique pour l’entreprise. Rien n’est anodin dans l’évolution du Système d’Information : migration dans le Cloud (Cloud Act, dépendance numérique et perte de compétences), choix de fournisseur stratégique, opérations M&A. Le RSSI/CISO doit régulièrement participer aux réunions du conseil, pour éclairer ces changements en termes de risques et d’avantages pour l’entreprise. La prise de conscience a lieu dans les conseils mais elle est encore trop lente au regard de la montée en puissance des cyberattaques.

 

4 grandes cyberattaques et stratégie factuelle

Pour Cyrille Elsen, il existe 4 grandes catégories de risques cyber :

  • L’atteinte de l’image de l’entreprise par la publication d’informations sensibles dans la presse ou la modification de sites web
  • Le sabotage par la destruction de données et les attaques virales
  • La négligence par le non-respect des règles de sécurité ou l’utilisation de programmes non-certifiés
  • Et enfin l’espionnage par intrusion dans les systèmes d’information ou le vol d’informations qui passent inaperçus.

L’espionnage est probablement la menace la plus insidieuse puisqu’elle peut durer très longtemps. La négligence étant la porte d’entrée la plus fréquemment utilisée par les cybercriminels. Le RSSI/CISO a la responsabilité de la communication et de la pédagogie avec le conseil.

Il est crucial qu’il puisse établir un rapport de confiance sur la base d’indicateurs factuels (nombre de tentatives d’intrusion, violation des règles de sécurité) et de recommandations qui sont en phase avec les objectifs de l’entreprise.

 

Les participants ont apprécié cette vue à 360° de la cybersécurité. Ils ont aussi pu apprécier le chemin qu’il reste à parcourir, pour une gouvernance efficiente dans un monde où réel et virtuel se combinent.


Nos derniers articles