Instaurer un meilleur leadership d'entreprise autour de la cybersécurité
Publié par Bertrand Trastour le - mis à jour à
Les cyberattaques peuvent causer d'importants préjudices aux entreprises. S'équiper des dernières technologies de pointe ne suffit malheureusement pas pour protéger. Cela passe également par un leadership vigilant et proactif, une sensibilisation, voire même, une acculturation à la cybersécurité auprès de tous les employés de l'entreprise.
Pour s'assurer que ses employés, environnements, appareils, et données sont à l'abri des cyberattaques, une entreprise doit mettre en oeuvre des politiques efficaces et former ses équipes aux meilleures pratiques, créant ainsi un écosystème interne résilient, et proactif pour se protéger des menaces. Dans ce contexte, voici quatre conseils à suivre pour une politique de cybersécurité efficace en entreprise :
Inclure la question de la cybersécurité à l'ordre du jour du conseil d'administration
Une récente étude révèle qu'un peu plus de la moitié (51 %) des dirigeants européens, et 57 % des dirigeants français mettent systématiquement la cybersécurité à l'ordre du jour des réunions de leur conseil d'administration.
Néanmoins, 43 % des répondants européens et 36,5 % des répondants français indiquent que la cybersécurité n'est à l'agenda que "de temps en temps", une proportion importante lorsque l'on sait que les négligences en la matière peuvent coûter très cher aux entreprises. En abordant régulièrement la cybersécurité au sein du conseil, les membres peuvent se tenir informés des dernières menaces et vulnérabilités, comprendre l'impact potentiel des attaques et prendre des décisions éclairées quant aux investissements et initiatives nécessaires pour prévenir les risques. Cela permet aussi d'intégrer la question de la cybersécurité au sein des prises de décision stratégiques de l'entreprise. Ainsi, le potentiel de risque cyber est anticipé dès la mise en place d'un projet et non pas uniquement en réactif, une fois qu'un problème survient.
Développer un langage commun entre les dirigeants et les personnes détenant les connaissances techniques
Malgré les inquiétudes des cadres dirigeants vis-à-vis de la cybersécurité, près de la moitié des responsables de la sécurité (48 %) interrogés ont déclaré que le jargon spécialisé et les termes technologiques consacrés sont déroutants et constituent le principal obstacle à la compréhension de la cybersécurité par les équipes de direction au sens large, et à la façon dont elles doivent s'y prendre pour faire face aux menaces.
Plus qu'une question informatique, la cybersécurité est pour une entreprise un enjeu commercial, qui requiert l'implication et la collaboration de différents services et parties prenantes. Des discussions fluides et transparentes entre les différentes parties d'une organisation peuvent faciliter la collaboration, mais pour cela, une passerelle de langage est nécessaire pour que tous comprennent le lexique et le jargon utilisés sur le dark web et dans les conventions communément comprises dans les comités de direction. Cette passerelle est possible notamment par le biais d'experts du « renseignement sur la menace », de fournisseurs de « threat intelligence » qui, en plus de fournir des informations éclairées sur le paysage cyber et les types de risques auxquels l'entreprise est exposée, peuvent déchiffrer les informations contenues dans ces rapports et fournir des informations tangibles, exploitables et intelligibles pour les différentes parties prenantes de l'entreprise amenées à interagir avec ces sources d'information.
Lire aussi : Fanny Forgeau de la sociologie à la cybersécurité
Former le personnel
La cybersécurité est une question de technologies, certes, mais aussi d'humains. D'une part, parce qu'il faut des humains qui soient capables de comprendre et d'opérer les différentes technologies déployées sur le parc informatique - il ne sert à rien d'empiler les couches de sécurité si personne n'est capable de mettre à jour les bases, ni même de prendre des actions en fonction des alertes remontées. D'autre part, parce que de nombreuses vulnérabilités et failles de sécurité en entreprise sont également dues à des erreurs humaines à cause d'employés pas toujours sensibilisés aux risques cyber ou formés aux bonnes pratiques d'hygiène numérique.
Une bonne stratégie de cybersécurité commence par une politique interne de bonnes pratiques et d'outils. Dans un monde qui se digitalise de plus en plus avec des salariés amenés à travailler en dehors du bureau, et dont le périmètre de sécurité peut plus difficilement être maîtrisé, une formation de base aux bonnes règles du numérique semble indispensable. Cela commence par le fait d'imposer des mots de passe forts, la double authentification, la capacité de reconnaître des mails de phishing de mails « officiels », par le fait de ne pas utiliser les appareils professionnels pour des usages personnels, de systématiquement scanner les appareils amovibles avant de les insérer dans le lecteur USB de l'ordinateur, de ne pas cliquer sur des liens suspicieux et d'uniquement utiliser des sites de e-commerce officiels etc. Cela requiert des notions sur les portes d'entrées des différents malwares, des notions sur les différents types de menaces qui existent ainsi que des codes liés à la cybersécurité.
La formation est aujourd'hui indispensable dans les entreprises et doit concerner tous les postes, pas uniquement les décideurs et doit s'effectuer en continu. Les menaces évoluant, des mises à jour fréquentes des bonnes pratiques cyber et des bons réflexes sont particulièrement critiques. Plusieurs acteurs du marché de la cybersécurité proposent d'ailleurs des modules complets de formation pour tous types de profils en entreprise (du profil « débutant » au profil « avancé » en matière de compétences cyber).
Bien évaluer les risques financiers à court et long terme
Une cyberattaque peut interrompre temporairement ou durablement les activités d'une entreprise, entraînant ainsi des conséquences juridiques et financières colossales : perte de salariés, litiges, amendes réglementaires, augmentation des primes d'assurance... sans parler du coût de récupération des données et de restauration des systèmes, et l'embauche de consultants externes pour résoudre l'incident. La liste, cependant, ne s'arrête pas là. Le risque réputationnel encouru par une entreprise peut entraîner des conséquences irréparables et les pousser, comme nous l'avons vu dans certains cas, à la cessation totale de leur activité.
Ce n'est pas un hasard si les cyberattaques inspirent autant la science-fiction : les scénarios sont multiples et les risques encourus nombreux. En pratiquant la prévention avant la remédiation, une organisation cultivera ainsi une relation de confiance avec ses actionnaires, employés, clients, ou lorsque cela s'applique, avec ses patients. Un leadership efficace en matière de cybersécurité n'est pas optionnel : il s'inscrit dans la vision stratégique à long terme de toute organisation.