La cybersécurité est encore trop souvent vue comme un sujet technique, alors même que la question de sa gouvernance est au coeur d’une politique efficiente pour toute organisation et que le risque numérique doit être appréhendé par l’ensemble des collaborateurs. Cette nécessaire prise de conscience est d’autant plus prégnante qu’aujourd’hui les cybermenaces deviennent exponentielles, mettant en jeu l’existence même des organisations.
C’est à une réflexion sur cette dimension que nous propose aujourd’hui Bernard BARBIER, Membre de l’Académie des Technologies, Président de BBCyber SAS, dans la Parole d’Expert que nous publions aujourd’hui :
VERS UNE NOUVELLE GOUVERNANCE DE LA CYBERSECURITE
Une approche systémique de la maitrise du risque numérique dans l’entreprise
La sécurité 360° de l’entreprise
Les grands axes de cette Parole d’Expert
Les entreprises se trouvent face à une menace critique que l’on peut qualifier d’existentielle (l’existence même de l’entreprise est en jeu) : les cyberattaques. Celle très récente (HAFNIUM) contre Microsoft1 a été menée par un Etat. Pour répondre à cette menace mortelle l’entreprise doit réaliser une révolution dans la gestion du risque numérique. Elle doit apprendre à gérer ce risque et le réduire à un niveau acceptable grâce à des nouveaux outils de cyberdéfense, des nouveaux métiers et surtout un changement d’organisation. Tous les métiers de l’entreprise et tous les employés de l’entreprise doivent s’approprier la notion de risque numérique, apprendre, se former et acquérir des nouveaux réflexes : « les gestes barrières » du numérique.
La séparation claire dans l’organisation des fonctions « d’exploitant du numérique » et des fonctions de « contrôleur du numérique » permet au PDG de l’entreprise de maitriser à son niveau les risques de son entreprise. L’organisation classique du (de la) responsable de la sécurité des systèmes d’information (RSSI) intégré dans la Direction de Systèmes d’Information (DSI) a montré clairement ses limites et son inadaptation aux menaces actuelles et elle place le (la) DSI dans une position de conflits d’intérêts qui accroît encore les risques.
Les entreprises doivent créer une tour de contrôle du numérique « la sécurité 360° » (Converging Security2) regroupant toutes les fonctions sécurité-sureté existantes, qui répond directement au PDG, la DSG (Direction sécurité Globale). Des nouveaux métiers doivent être créés : identifier, détecter et réagir à la menace cyber. Toutes les entreprises devront faire face à une crise cyber majeure et elles doivent apprendre à réagir rapidement en se préparant à cette crise par des entrainements répétés (simulation de gestion de crise) et préparer-tester un plan de reprise d’activité : c’est l’une des responsabilités majeures du Directeur de la Sécurité Globale, sous l’autorité déléguée du PDG. L’autre responsabilité opérationnelle est le maintien en condition opérationnelle de sécurité (fonction qui n’existe pas dans beaucoup d’entreprises) : assurer en temps réel la garantie des règles techniques des exigences de sécurité.
Les investissements dans la cyberdéfense ne doivent pas être considérés comme un passif, mais plutôt comme un actif de l’entreprise
______________________________________
1 Microsoft sous le feu d’une cyberattaque massive | Les Echos
2 is Security Converging? (asisonline.org)