Introduction
La menace toujours croissante des cyber-attaques pesant sur les organisations du monde entier et l’impact financier, opérationnel ou de réputation potentiellement dévastateur de ces dernières sur l’entreprise font qu’il est essentiel de faire de la cybersécurité une question majeure devant la direction des organisations. Ce sont les membres du Conseil d’Administration qui détiennent la responsabilité finale en matière de risques, à la fois en tant qu’ils définissent l’appétit de l’entreprise pour le risque cyber et qu’ils veillent à ce qu’un budget et des ressources suffisants soient alloués à la gestion de ce risque dans la limite de cet appétit. S’ils ne sont pas correctement informés des risques associés à la sécurité de l’information, l’organisation risque de ne pas mettre en place les mesures de réduction justes et appropriées permettant de la protéger des menaces et risques les plus importants.
L’absence de protection efficace contre ces cybermenaces peut avoir des conséquences à la fois organisationnelles et personnelles pour les cadres. Par exemple, la réglementation de la FCA Senior Managers and Certification Regime (SMR) attribue la responsabilité de la sécurité de l’information aux membres de l’exécutif, les rendant responsables de la bonne mise en place des protections cyber pour la Sécurité de l’Information.
Cet article propose une approche en quatre étapes sur la manière de mieux impliquer les cadres dirigeants de votre organisation dans la sécurité de l’information, pour construire un partenariat fructueux entre ces cadres, qui dirigent le budget et les ressources pour la sécurité de I’information, et les équipes cyber qui sont responsables du cadrage et de la mise en place de cette sécurité.
Étape 1 : Introduire les dirigeants à la cybersécurité
Dans cette première réunion avec les cadres dirigeants, il est impératif de commencer la discussion en se concentrant sur une introduction à la cybersécurité qui donne une vue d’ensemble des capacités et du modèle opérationnel de l’organisation en matière de cybersécurité, ce qui permettra des discussions plus approfondies par la suite.
Décrivez les responsabilités de l’organisation et des dirigeants en matière de sécurité de l’information et la manière dont celles-ci s’alignent avec les priorités stratégiques de l’organisation et de l’équipe cyber. Cela devrait inclure une présentation des principales menaces (à la fois internes et externes) pour l’organisation, les risques auxquels elles l’exposent, et la feuille de route existante pour limiter ces derniers. Cela donnera un aperçu général de la capacité cyber de l’organisation et donnera le ton pour les conversations à venir avec la direction.
Faites une synthèse présentant le schéma directeur de la sécurité de l’information et la manière dont la sécurité s’intègre et ajoute de la valeur au reste de l’activité. Il est important d’inclure des indicateurs qui puissent être utilisés pour comparer l’approche de l’organisation en matière de cybersécurité à celles du marché. Une différence dans le budget ou la taille des effectifs dédiés par rapport à un concurrent peut indiquer si l’organisation affecte à la problématique les ressources et le budget adéquats.
Étape 2 : Audit à 360°
Après avoir introduit avec succès les dirigeants à la sécurité de l’information, il est maintenant essentiel de prévoir une deuxième séance afin de présenter avec plus de granularité la capacité cyber de l’organisation, en mettant clairement l’accent sur les domaines où les ressources doivent être concentrées.
Les frameworks types du secteur, comme ISO et NIST, doivent être déployés pour mesurer la maturité cyber de l’organisation et fournir une analyse sur les améliorations potentielles qui pourra être présentée à la direction. Ces frameworks offrent un cadre auquel l’organisation peut se comparer afin d’identifier les domaines nécessitant une élévation de la maturité pour réduire les risques liés aux principales menaces pour l’organisation. Si ces outillages offrent en l’état une bonne mesure de la maturité, il est important de les affiner pour qu’ils soient adaptés à l’organisation, en tenant compte de son secteur d’activité et de son environnement réglementaire. Wavestone recommande de prendre le Framework NIST comme base et de l’adapter aux enjeux spécifiques de l’organisation pour dépasser les limites de l’outil et l’orienter vers les besoins de l’entreprise.
Wavestone a élaboré son propre framework, le Cyber Benchmark, qui s’appuie sur les meilleurs frameworks du secteur pour fournir une approche globale de l’évaluation de la maturité, perspectives organisationnelles et technologiques incluses. Nous recommandons aux organisations de suivre une approche similaire afin d’accélérer les améliorations de leur outillage pour accroître leur maturité cyber.
Il peut être difficile de capter l’attention des cadres dirigeants pour qu’ils investissement du temps et des ressources dans le développement d’un framework visant à améliorer la maturité cyber. Une bonne méthode pour les interpeller consiste à fournir des preuves concrètes de leurs vulnérabilités en matière de sécurité, en montrant par exemple comment une « Red Team » interne a pu accéder à leurs boîtes mail, et en expliquant le peu de jours qui ont été nécessaires à cela.
Étape 3 : Programme et Framework
Une fois que cette vue détaillée aura été présentée, une des priorités majeures doit être de s’assurer que les dirigeants ont adhéré à la stratégie et à la feuille de route en matière de cybersécurité. Ces dernières doivent être élaborées sur la base des axes d’amélioration de la maturité identifiés lors de l’évaluation sur la base du framework. L’adhésion de la direction à la feuille de route garantira le financement et les ressources nécessaires à la mise en œuvre de ces améliorations.
À l’aide du framework personnalisé, élaborez une feuille de route axée sur les aspects qui réduiront le plus efficacement possible les risques liés aux principales menaces pesant sur l’organisation. Cette feuille de route servira de base au programme de sécurité. Elle doit être définie de manière à fournir des cibles claires à atteindre pour garantir la conformité aux attendus du framework personnalisé, en commençant par une approche de remédiation qui garantira une maturité cyber standard dans l’ensemble de l’organisation, suivie d’étapes permettant d’atteindre les objectifs de maturité cyber. La garantie d’une maturité standard dans l’ensemble de l’organisation atténuera le risque lié aux menaces à court terme, tandis que l’atteinte des objectifs de maturité réduira le risque potentiel lié aux menaces à plus long terme.
Le soutien du programme peut être assuré par un bureau de gestion de projet (PMO) spécialisé qui supervisera son exécution. Il est important que ce PMO promeuve de bonnes relations entre les services informatiques qui mettront en œuvre la feuille de route vers la maturité et les différents métiers, afin que les avantages soient compris et exploités dans l’ensemble de l’organisation.
Étape 4 : Quantification des risques et Accélérateurs commerciaux
La dernière étape dans l’implication de la direction consiste à démontrer le retour sur investissement (ROI) que la cybersécurité peut représenter, à la fois en réduisant les risques liés aux principales menaces et en tant qu’accélérateur commercial stimulant une expansion dans de nouveaux territoires, avec l’établissement de nouvelles relations clients.
L’implémentation du framework personnalisé adapté à l’organisation et le suivi de la feuille de route vers la maturité cyber ainsi établie nécessiteront une augmentation du budget alloué. Cependant, il est important de souligner au Conseil d’Administration que ce retour sur investissement dépassera de loin le coût initial en raison d’une diminution spectaculaire de l’ampleur et de la gravité des risques auxquels l’organisation est exposée. Utilisez des calculs pour démontrer de manière quantitative ce retour sur investissement et liez-le aux efforts et changements apportés par le programme de sécurité. Il s’agira également d’expliquer que cette dépense initiale, nécessaire à la mise en œuvre du programme de sécurité, reste bien inférieure aux répercussions potentielles qu’aurait une absence de protection adéquate lors d’une cyber-attaque sur les plans financier, de la réputation et le plan personnel (ex : SMR).
Non seulement la cybersécurité peut prévenir les graves répercussions d’une absence de protection des SI en cas d’attaque, mais elle peut aussi devenir un important catalyseur commercial. Une gestion efficace de la cybersécurité permettra, d’une part, la préservation des clients en cas d’une violation de sécurité correctement gérée et, d’autre part, de positionner l’organisation comme un gestionnaire des données et des informations des clients sûr. Une organisation sûre peut s’implanter rapidement dans de nouveaux environnements commerciaux et saisir des opportunités avec la certitude que sa maturité en matière de cybersécurité lui permettra de faire face aux nouvelles menaces potentielles qui pourraient découler de cette expansion, ouvrant ainsi la porte à l’élargissement de sa base de clients en toute sécurité.
Conclusion
En suivant les quatre étapes exposées dans cet article, vous pourrez établir une relation solide avec les cadres dirigeants en matière de sécurité de l’information, en vous assurant qu’ils soient conscients de leurs responsabilités en matière de cybersécurité dans le cadre du SMR et qu’ils allouent le budget et les ressources appropriés pour faire face aux menaces majeures qui pèsent sur l’organisation. Le framework personnalisé leur permettra de comprendre la posture actuelle de la cybersécurité et d’adhérer à la feuille de route pour une maturité future. Une fois que cette cible de maturité de la cybersécurité aura été établie, les opportunités commerciales peuvent être un levier pour s’assurer que les dirigeants continueront d’investir dans le développement de la Sécurité de l’Information à l’intérieur de votre organisation.
