Le risque cyber s’est installé durablement comme une priorité pour les dirigeants presque au même niveau que les risques financiers et juridiques. Il s’agit d’une menace croissante à la fois par sa probabilité de survenance et son impact son impact potentiel.
Une exigence de résilience
La résilience numérique est une priorité capitale même si la plupart des dirigeants se posent des questions sur la manière d’y parvenir.
Nous constatons des investissements conséquents consentis par les entreprises dans le renforcement des capacités et des compétences, la définition de nouveaux rôles, des expertises de pointes déployées de l’externe ainsi que des systèmes matériels et applicatifs pour booster les contrôles.
Une chaine décisionnelle en difficulté
Mais une fois les diagnostics ou les indicateurs de risques sont exposés aux dirigeants, tous les efforts susmentionnés perdent leur sens. Les comités exécutifs sont submergés de rapports remplis de dizaines d’indicateurs de risque clés (KRI). Ces rapports n’aident pas à la prise de décision. Ils sont surchargés d’acronymes et de jargons techniques. Et à part renforcer le flou sur l’état réel du risque, ils servent à remplir davantage les boites mails ou les disques durs des PC.
La transparence totale, sur les incidents ou menaces cyber, est une exigence au niveau de toutes les organisations pour mieux calibrer les moyens et les ressources dédiés afin de les gérer activement et d’en limiter les impacts.
Pour rendre plus transparent ces rapports, certaines stratégies contre-productives sont demandées par les instances de décision. La première de ces tendances réside dans l’évaluation financière du risque pour traduire les indicateurs de risques informatiques en impacts financiers potentiels. En conséquence tous les risques dont l’évaluation financière est impossible ou partiellement possible se retrouvent ignorés par les instances de décision.
Les raisons de ce malheureux constat sont multiples mais les principales demeurent :
- Un jargon excessif
- Un manque de cohérence des indicateurs et des alertes entre sources distinctes
- Un besoin de formation et d’expertise au plus haut niveau de décision
Nous sommes en train de redécouvrir les mêmes soucis vécus sur la gestion des risques financiers où la fonction finance avait des alertes que la fonction comptable peine à percevoir ou la fonction investissement ne trouve pas ses chiffres dans les reportings de la fonction risque etc….
Depuis, les gouvernances ne cessent de gagner en maturité :
- Des dictionnaires de données sont installés pour homogénéiser les jargons
- Des systèmes de synthèses combinant les opérations, la comptabilité, la finance facilitent la lecture et la convergence des indicateurs
- Les dirigeants ont une formation et une bonne expertise financière et comptable
Car ce qui manque, c’est une approche efficace et intégrée de la gestion des risques cyber ainsi que les reportings y afférent pour faciliter une gestion rapide et factuelle.
Des leviers de progression
L’objectif est de donner aux organisations les moyens de concentrer leurs moyens de défense sur les scénarios de cyber-risques les plus probables et les plus menaçants, en recherchant un équilibre entre une résilience efficace et des opérations efficaces.
Cette approche pourrait s’articuler autour de 5 phases recommandées par le standard EBIOS :
- Identification des actifs vitaux et des évènements redoutés
- Appréhension des menaces et des sources des risques potentielles
- Matérialisation des scénarios stratégiques que pourraient adopter les attaquants éventuels
- Construction des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque
- Mise en œuvre d’un plan d’actions et de suivi
Pour faciliter les échanges, il faudrait une meilleure classification et catégorisation des risques avec un conseil d’administration et un comité exécutif suffisamment formés. L’appréhension serait plus factuelle et les décisions seront prises sur la base des arguments dont le sens est compris et partagé.
