L’usage des technologies de l’information est un levier majeur pour doper la performance économique des entreprises. Il apporte une expérience d’usage améliorée des clients et des employés dans un cadre de plus en plus compétitif. Néanmoins, ces innovations portent un risque structurel dans leurs fondements. L’infrastructure de base, son hétérogénéité et mutations fréquentes illustrent ces terrains fertiles et propices aux risques cyber, qui sont trop naturellement admis ou tolérés. Les organisations qui trouvent de meilleurs moyens de « gérer » ces risques tirent profit en accélérant leurs transformations et leurs agilités. Nous adressons dans la suite de cet article nos convictions sur les impératifs organisationnels à adopter pour réussir la gestion du risque cyber.
Les dirigeants sont-ils impliqués ?
Au sein de toutes les entreprises, il est acquis de considérer que la gestion des risques cyber relève de l’action, au quotidien, de tous les employés alors que la responsabilité ultime de cette supervision incombe en fait aux principaux dirigeants. Ces derniers doivent avoir une bonne compréhension pour donner l’exemple et prendre les bonnes décisions stratégiques et tactiques.
Parmi ces décisions stratégiques, il est vital de réussir une transition du cadre traditionnel de la gestion « curative / sécuritaire » des menaces cyber vers un cadre d’une gestion « vigilante / résiliente ». Ce nouveau cadre impose une compréhension étendue des menaces et la manière d’y répondre et d’en sortir, en cas d’attaque éventuelle, le plus rapidement et de préférence avec un minimum d’impacts.
Les dirigeants devraient outre-passer le stade d’être bien informés et d’être bien entourés. Ils devraient être réellement avisés sur les menaces importantes et comment ces menaces peuvent mettre en péril leurs actifs. De plus ils doivent comprendre les démarches de prévention mises en place pour contrer ces menaces. Il doit être proactif contre ce risque et assimiler les avis des experts.
Le bon niveau de responsabilité et d’implication au niveau de la direction est crucial. Si la surveillance implique seulement une mise à jour sur les derniers événements cybernétiques en lisant un article dans un journal ou en prenant un café avec le DSI et/ou le DPO vous n’en faites probablement pas assez pour gérer efficacement ces risques.
Quel est le périmètre/champ d’action des entreprises ?
Nul besoin de rappeler que les cyberattaques peuvent provoquer des pannes générales d’infrastructures critiques (OIV au sens LPM, ou OSE au sein NIS) et mettre à mal l’économie d’un pays aussi mature que la France. Les dirigeants des entreprises et les pouvoirs publics endossent cette responsabilité de faire transiter le tissu économique national vers plus de résilience face aux menaces cyber.
Il faudrait changer de paradigme. Les inquiétudes liées aux risques cyber dépassent la feuille de route de l’IT. Et sans aucun doute la seule protection « de base » du réseau est insuffisante. En d’autres termes, le fait de vous sentir en sécurité parce que vous avez des routeurs et firewalls relèvent de la naïveté managerielle. Dans le monde matériel, il est bien difficile de croire que la présence d’un gardien empêche 100% des vols !
Ces inquiétudes doivent être une préoccupation majeure pour tous les processus métier, de tous les partenaires/fournisseurs et de tous les clients. Il est important que chacun intervienne au niveau des risques portés par son périmètre et prenne les mesures de protection nécessaire. Cette démarche permet à la fois d’impliquer toute l’organisation mais aussi d’identifier les frontières internes à mettre en place pour contenir une éventuelle crise.
Enfin tout en agissant localement, chaque organisation doit se penser dans le cadre d’un écosystème via sa chaine d’approvisionnement ou selon ses ambitions de développement. L’exposition de l’entreprise est fortement corrélée à la taille réelle de « ses frontières numérique ». La connaissance des ces frontières par un recensement précis des partenaires et des services externes constitue la première étape de cette démarche. Par la suite il faut faire une évaluation de la criticité et du niveau de protection de ces frontières.
De nombreux incidents cyber dépassent le cadre d’une entreprise isolée, ils prennent leurs origines chez des partenaires et/ou fournisseurs. Un effort conséquent est donc à déployer pour aligner les acteurs de votre chaîne de valeur sur des pratiques de cybersécurité et des standards communs afin d’atténuer les facteurs de risque et pérenniser vos relations et vos échanges.
Nous aborderons les conséquences sur l’organisation et les procédures à adopter dans notre prochain article.
