La pandémie que nous traversons actuellement a considérablement favorisé l’augmentation des cyberattaques au sein des entreprises. Les résultats des études réalisées sur le sujet sont plus qu’alarmants. Cette étude du FBI fait par exemple état d’une hausse de près de 400% des attaques aux Etats-Unis. La protection des données et la mise en place de plans de continuité de l’activité sont ainsi devenues des priorités pour les équipes et experts informatiques. Et ce, alors même que les budgets sont à la baisse. De quoi accélérer fortement la transformation digitale des organisations dans ces domaines. Il est également important que la cybersécurité émane des plus hautes sphères de l’entreprise.
Selon une enquête réalisée par Microsoft (août 2020), les entreprises ont augmenté leurs budgets sécurité de 58%. En concentrant leurs efforts sur des solutions comme l’authentification multifacteur (MFA) ou les outils anti-phishing. Par ailleurs, 82% d’entre-elles prévoient d’agrandir leurs équipes pour lutter contre les cybermenaces. Une tendance qui accentuera sûrement la guerre des talents dans la cybersécurité. Mais tant que les entreprises n’auront pas solidifié la culture de sécurité IT en interne, et qu’elles n’adopteront pas une approche plus stratégique et proactive de la cybersécurité, tous ces efforts ne seront pas suffisants. Découvrez ainsi dans notre article pourquoi la cybersécurité devrait émaner des plus hautes sphères de l’entreprise ?
La responsabilité : le nerf de la guerre en matière de cybersécurité
L’évincement d’un PDG à la suite d’un fiasco financier ne surprendrait pas grand monde. Pourquoi n’en serait-il pas de même avec les incidents majeurs de cybersécurité ?
D’après une récente étude menée par Centrify, fournisseur de solutions de gestion des accès à privilèges (PAM), 40% des entreprises britanniques ont licencié du personnel au cours des derniers mois pour des motifs directement liés à la cybersécurité. Et il y a très peu de chance qu’il s’agisse de membres de la direction de l’entreprise.
Traditionnellement, les failles de sécurité sont considérées comme du ressort des décideurs informatiques, qui finissent souvent par retracer l’incident jusqu’à l’employé imprudent ou jusqu’au process mal défini. L’erreur humaine et le shadow IT sont à l’origine d’un grand nombre de cyberattaques, mais comme pour tout problème systémique, un véritable changement de culture nécessite l’implication des acteurs de tous niveaux.
La technologie fait désormais tellement partie intégrante des activités des entreprises, que la responsabilité en matière de sécurité ne peut plus être ignorée par les plus hautes sphères de prise de décision de l’entreprise. Les conseils d’administration et comités de direction doivent désormais porter cette responsabilité. La responsabilité garantit non seulement une meilleure performance ; mais elle stimule l’innovation et favorise l’amélioration continue.
Et en effet, c’est généralement une fois que la réputation et la position même d’un dirigeant sont en jeu que ce dernier devient susceptible de prendre des mesures d’ampleur pour lutter contre les potentielles cybermenaces. Un dirigeant responsabilisé sur les enjeux de sécurité IT sera plus apte à investir des ressources. Ainsi qu’à devenir un ambassadeur de la cybersécurité en interne. Objectif : impulser le changement dans tous les départements de l’entreprise. Que ce soit des RH aux équipes sales, tout en couvrant les sous-traitants externes et partenaires commerciaux.
Mais pour être responsabilisés en matière de cybersécurité, les dirigeants des hautes sphères de l’entreprise doivent d’abord être bien informés.
L’enjeu de l’expertise technique des hauts-décisionnaires
L’objectif n’est pas de faire des membres des comités de direction des experts en cybersécurité. Mais ces acteurs doivent bel et bien être mesure de comprendre les enjeux afin de pouvoir prendre des décisions éclairées sur le sujet. Ils doivent également pouvoir intégrer la sécurité IT dans leurs stratégies et plans d’action dans leur ensemble.
L’une des solutions pour créer des sphères décisionnelles avisées sur le sujet, est de faire appel à des cadres ayant de l’expérience dans l’IT. De plus en plus d’entreprises intègrent Ie DSI au Codir par exemple. Mais ce n’est pas le cas de toutes les organisations. Il est en tout cas de plus en plus nécessaire qu’il soit impliqué dans les prises de décision stratégiques.
Le rôle des décideurs informatiques a fortement évolué depuis l’émergence de la crise sanitaire. Accroissement de leur implication dans l’organisation de l’entreprise, travail en étroite collaboration avec les plus hauts dirigeants… Leur rôle est devenu central dans la continuité de l’activité et leur influence au sein de l’entreprise a progressé.
Certaines entreprises décident, quant à elles, de créer de nouveaux postes de direction orientés IT ou même sécurité IT. Mais malheureusement, la figure du Chief Information Security Officer (RSSI) reste assez rare au sein des hauts niveaux hiérarchiques. Et, bien que certaines entreprises aient des responsables informatiques dédiés à la cybersécurité, ils restent souvent confinés au département informatique. Et ne disposent pas de pouvoirs exécutifs suffisants et d’assez de visibilité.
Enfin, toutes les solutions n’impliquent pas de donner la priorité aux cadres ayant une formation technique. La formation est une autre option. Les PDG et autres hauts-décisionnaires peuvent apprendre à évaluer les cybermenaces et la cyber-résilience de leur entreprise à l’heure de prendre d’importantes décisions business. Les DSI et leurs équipes ont un rôle clef à jouer dans ce processus de formation. Partageant leur expérience et leurs connaissances techniques tout en réalisant des audits de sécurité périodiques pour informer le conseil d’administration.
Ainsi il est important que la cybersécurité soit prise en compte dans les plus hautes sphères de l’entreprise.
