Comment sensibiliser le conseil d’administration à la sécurité ?
Le déploiement de la sécurité exige également le support de la direction générale de l’entreprise. Mais comment lui expliquer les besoins et les solutions existantes ? Ne soyez pas trop technique, mais ne tournez certainement pas autour du pot.
Dans un monde où tout équipement est interconnecté, la sécurité ne fait que se complexifier. Faire passer ce message et dégager les investissements nécessaires sont tout autant délicats. ” Les CIO nous font savoir qu’ils peuvent certes exposer cette problématique à leur conseil d’administration, mais qu’ils n’ont en général qu’une dizaine de minutes pour le faire, explique Danielle Jacobs, directrice de Beltug. Dans le même temps, l’institut des administrateurs Guberna nous interpelle sur les questions de cybersécurité. Un conseil d’administration comprend certes que le thème est important, mais le CIO ou le CISO parle souvent une autre langue. ” Pour Beltug, il s’agit pourtant là d’une occasion rêvée de jeter un pont et d’expliquer le sujet en termes compréhensibles, sans pour autant en sous-estimer l’importance.
Le fait que certains incidents aient fait la une des médias est une bonne chose.
” Il faut parler en termes de risques, poursuit Danielle Jacobs. Après quoi il appartiendra au conseil d’administration d’évaluer les risques que l’organisation est disposée à prendre ainsi que la périodicité du rapportage – annuel, mensuel, etc. – et les investissements à consentir. Cela dit, il n’est pas nécessaire d’expliquer ce que coûtera un pare-feu ou les avantages de la gestion des identités. En revanche, il importe de préciser la manière de contrer tel ou tel risque. ”
Caroline Van Rompuy, ‘chief digital information officer’ (CDIO) du groupe Agfa, qui emploie quelque 8.000 collaborateurs et dispose d’un département IT de 300 informaticiens, confirme : ” Tout l’art consiste à donner en peu de temps une présentation de qualité qui soit à la fois directe et convaincante. En l’occurrence, il convient de mettre le doigt sur les risques principaux et sur le niveau de maturité de l’organisation dans le domaine de la sécurité. Il importe d’identifier les risques et les solutions disponibles en matière de sécurité, mais aussi de définir les procédures en cas d’incident et la manière de le corriger. ”
” Lors d’une telle présentation, je n’insiste pas sur les outils techniques. Un conseil d’administration ne les connaît pas et ne doit d’ailleurs pas les connaître. Mais il est essentiel de corréler les risques et les solutions et de parler la langue des administrateurs, à savoir de prendre en compte le chiffre d’affaires et l’image de l’organisation afin de déterminer le coût de la sécurité “, poursuit Van Rompuy.
Si la sécurité a toujours été à l’agenda, son importance ne fait que croître ces derniers temps, notamment à cause des attaques de rançongiciels qui font la une des médias, mais aussi en raison du succès rencontré ces derniers mois par le télétravail. ” Dans le top 10 des priorités de nos membres, 6 concernent la sécurité, indique encore Danielle Jacobs (Beltug). Il existe des entreprises qui ne comptaient en début d’année que 3 télétravailleurs et qui ont été contraintes en deux semaines de mettre l’ensemble de leur personnel en télétravail. Mais aussi une administration communale qui ne pouvait émettre un cahier des charges pour de nouveaux outils, avec toutes les conséquences que l’on imagine. Pour notre part, nous constatons que la crise du Covid-19 s’est traduite par le report ou l’annulation de nombreux projets IT, mais pas dans le domaine de la sécurité. Dans certaines organisations, les investissements ont même augmenté. Les entreprises ont pris conscience de l’importance vitale de la sécurité. ”
” Le fait que certains incidents aient fait la une des médias est une bonne chose, enchaîne Van Rompuy (Agfa). Les administrateurs ou les membres du comité exécutif en ont en effet connaissance et s’interrogent sur le fait de savoir si une telle situation peut se produire chez eux. C’est une évolution positive. Pour notre part, nous investissons également beaucoup dans la sensibilisation et procédons à des opérations d’hameçonnage parmi notre personnel afin de voir si la situation s’améliore. Cela dit, nous constatons que nos collaborateurs sont désormais nettement plus sensibles au piratage, même si l’être humain reste le maillon faible. Comme nous employons 8.000 collaborateurs, soit 8.000 ordinateurs et des milliers d’interactions quotidiennes, la sensibilisation se révèle particulièrement importante. ”
Chez Agfa, les projets IT ont été maintenus, tandis que plusieurs dossiers en matière de sécurité ont été accélérés. ” Nous utilisions encore d’anciens VPN dont nous avons intensifié le démantèlement pour déployer de nouvelles versions, tandis que nous avons renforcé nos solutions de contrôle d’accès réseau. ”
Le conseil de sécurité décide
La CDIO d’Agfa est invitée une fois par an environ au comité de direction pour y exposer la stratégie de sécurité, mais les budgets sont décidés au sein du conseil de sécurité qui se réunit tous les semestres sous la présidente du CFO, lequel est également membre du comité d’audit. ” Chaque entité métier est représentée et compte également des spécialistes en sécurité, ce qui permet d’y aborder différents aspects pratiques avec l’IT et notre CISO, notamment le type d’incidents rencontrés, les outils mis en oeuvre et les investissements à consentir. ”
Reste à voir comment traduire ces décisions au niveau du comité de direction. ” Il s’agit d’une responsabilité financière. Les membres doivent comprendre les risques, poser les bonnes questions pour savoir si nous sommes sur la bonne voie. La question n° 1 est évidemment de savoir si nous sommes bien protégés. Pour ce faire, nous procédons à des évaluations de maturité. Ces évaluations vont de zéro à protection maximale et permettent de voir où l’entreprise se positionne. ”
Van Rompuy : ” Mais ces évaluations peuvent également être très pragmatiques ou très ciblées. Ainsi, l’un des administrateurs m’a demandé ce qui se passerait en cas de perte d’un ordinateur portable avec des données de patients. Comment procédons-nous et sommes-nous préparés ? Mais aussi si nous pourrions commercialiser nos initiatives en matière de sécurisation de nos produits. Bref, il s’agit tant d’identifier les risques et les procédures que de questions techniques ou métier. Le défi consiste à leur exposer les problématiques afin qu’ils appréhendent la situation et comprennent ce que nous faisons pour maîtriser la situation. ”
Afin d’aider les CIO et CISO, Beltug a mis au point un scénario destiné au responsable chargé d’exposer la problématique de la sécurité au conseil d’administration sans risquer de se perdre dans un jargon technique. ” Il ne s’agit pas de demander simplement une hausse de 3% des budgets, mais de préciser les risques qui peuvent ainsi être couverts “, précise encore Danielle Jacobs. Ce scénario est en principe réservé aux seuls membres de Beltug, mais est désormais aussi disponible sur demande en adressant un courriel à info@beltug.be.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici