… Cette réponse qu’un RSSI m’a récemment faite peut paraitre évidente. Et pourtant, nombre d’organisations peinent à articuler clairement à la fin d’une année si le risque cyber a baissé et si les investissements réalisés ont eu un impact mesurable.
C’est loin d’être une fatalité.
Une gouvernance solide permet de : fixer des objectifs partagés, des indicateurs de performance, allouer les moyens, contrôler l’efficacité et organiser un dialogue productif entre les parties prenantes du programme cyber. L’alignement du programme cyber avec les priorités stratégiques de l’organisation est critique, c’est le rôle de la direction.
Preuve que souvent la gouvernance cyber peut être améliorée sous la houlette des directions : la réalité des moyens investis pour faire face au risque cyber est contrastée. Seules 8% des 2000 organisations interrogées en 2020 par le CLUSIF ont sanctuarisé le budget dédié à la cybersécurité. La majorité des RSSI se voit donc contrainte de défendre tous les ans l’intégralité de ses moyens, avec le risque de « stop and go » et les impacts néfastes que cela implique sur les projets et l’engagement d’équipes très sollicitées. La même étude montre que près de 30% des organisations n’ont pas de RSSI et que dans 44% des cas, le RSSI n’est pas rattaché à la direction générale… on comprend pourquoi près d’un quart des organisations étudiées n’ont pas de politique de SSI formalisée. De quoi faire pour les comex en matière de gouvernance, d’allocation et de priorisation de moyens.
Les difficultés pour créer un dialogue productif pour mieux gérer le risque cyber naissent de l’incompréhension entre les directions de l’entreprise qui n’ont pas d’expertise IT et des équipes cyber qui tiennent à leur culture technique et jargonnante. La direction générale peut à nouveau prendre l’initiative pour créer le langage commun qui crée un pont entre les équipes cyber et les métiers. Cet « espéranto de la cyber » gagne à se concentrer sur : la réduction des risques, la protection de la réputation et la résilience de l’organisation.
La réalisation d’une cartographie des risques précise est une opportunité précieuse pour le RSSI de créer l’alignement de toutes les parties prenantes autour des objectifs et moyens de son programme. Cette cartographie est aussi l’occasion de comprendre quelle est l’appétence au risque cyber de l’entreprise et de la formaliser. Comme souvent, le chemin compte au moins autant que le résultat (le document de cartographie) pour créer un dialogue de confiance entre les équipes SSI et les directions métier. Le vocabulaire des risques est certes plus parlant pour les métiers, mais à condition que ces risques se traduisent en données chiffrées. Des méthodes de quantification des risques ouvertes telles que FAIR peuvent être utilisées et outillées : elles alignent toutes les parties prenantes sur une méthode commune, non technique - et permettent d’objectiver l’allocation des moyens.
Les risques établis et prioritisés permettent la création du programme pluriannuel de cyber, qui vise à réduire ces risques. La création de ce programme peut se structurer autour d’un framework standard tel que celui du NIST qui fournit un cadre méthodologique prêt à l’emploi et des bonnes pratiques détaillées. Il facilite l’évaluation de la maturité de l’organisation en matière cyber, l’obtention de certifications, etc. Enfin, la création d’un outil de pilotage de niveau direction tel qu’une « scorecard cyber », centrée sur les principales mesures de réduction des risques quantifiés les plus forts et leur financement, sur la protection de la réputation et l’amélioration de la résilience de l’entreprise, contribue largement à un dialogue productif et à l’engagement actif de la direction en soutien du programme.
Pièce clé du dispositif de gouvernance, le rôle de supervision de l’équipe de direction revient au conseil d’administration. Sans rôle opérationnel, il impulse la direction stratégique et demande des comptes à l’équipe de direction. Comme le rappelle Jean-Paul Mazoyer, DGA du Crédit Agricole, « il n’y a plus de compassion pour les entreprises attaquées, mais presque une accusation : avez-vous bien fait tout ce qui est nécessaire ? Pouvez-vous justifier que vous étiez préparés à une attaque ? C'est plus du tout le même regard que l'on porte sur les entreprises qui ont été attaquées ».
La pression monte et la confiance des marchés et des clients est souvent en jeu. Pour tenir son rôle en matière de risque cyber, encore faut-il que le conseil d’administration ait les compétences nécessaires. De ce point de vue, la SEC aux États-Unis (Security and Exchange Commission, l’équivalent de l’Autorité des Marchés Financiers française) a donné le ton : elle a proposé en mars 2022, pour le rendre obligatoire courant 2023, un nouvel ensemble de règles intitulé « Stratégie, gouvernance, gestion du risque de cybersécurité et déclaration d’incident ».
Les entreprises américaines seront dorénavant tenues de décrire aux marchés leur capacité à mettre sous contrôle le risque cyber, en particulier : les compétences de leur conseil d’administration en matière de cybersécurité, les processus en place pour l’informer d’un incident cyber, la fréquence des échanges sur le sujet en conseil d’administration etc. Compte tenu de l’ampleur du risque cyber et de son impact sur l’entreprise, les investisseurs seront dûment informés et pourront arbitrer en conséquence.
L’Union Européenne n’est pas en reste et impose via différentes directives (NIS2 et DORA notamment), les méthodes et les pratiques à mettre en place pour se protéger d’une attaque, puis d’en minimiser les impacts si une faille du SI devait être exploitée. Le périmètre d’application de ces directives s’étend (des milliers d’entreprises de 18 secteurs d’activité sont concernées), et les potentielles amendes en cas de manquement sont de plus en plus importantes (jusqu’à 10M€ ou 2% du CA). A la perte de chiffre d’affaires ou à la dégradation de réputation vient donc s’ajouter la menace de lourdes sanctions financières de la part du régulateur. Une forme de double peine qui impose la réduction du risque cyber comme élément central de la stratégie d’entreprise.
● Réaliser une cartographie des risques cyber et les quantifier à l’aide de la méthodologie FAIR un programme de cybersécurité pluriannuel prenant en compte l’appétence au risque de l’organisation en s’appuyant sur un référentiel standard, de type NIST.
● Repenser ce qui peut être traité dans un sous-comité (audit, risques ou cyber) ou/et en conseil d’administration plénier, à une fréquence trimestrielle à minimal.
C’est loin d’être une fatalité.
Une gouvernance solide permet de : fixer des objectifs partagés, des indicateurs de performance, allouer les moyens, contrôler l’efficacité et organiser un dialogue productif entre les parties prenantes du programme cyber. L’alignement du programme cyber avec les priorités stratégiques de l’organisation est critique, c’est le rôle de la direction.
Une maturité qui reste faible
Preuve que souvent la gouvernance cyber peut être améliorée sous la houlette des directions : la réalité des moyens investis pour faire face au risque cyber est contrastée. Seules 8% des 2000 organisations interrogées en 2020 par le CLUSIF ont sanctuarisé le budget dédié à la cybersécurité. La majorité des RSSI se voit donc contrainte de défendre tous les ans l’intégralité de ses moyens, avec le risque de « stop and go » et les impacts néfastes que cela implique sur les projets et l’engagement d’équipes très sollicitées. La même étude montre que près de 30% des organisations n’ont pas de RSSI et que dans 44% des cas, le RSSI n’est pas rattaché à la direction générale… on comprend pourquoi près d’un quart des organisations étudiées n’ont pas de politique de SSI formalisée. De quoi faire pour les comex en matière de gouvernance, d’allocation et de priorisation de moyens.
Des opportunités existent pour les directions qui souhaitent s’emparer du sujet
Les difficultés pour créer un dialogue productif pour mieux gérer le risque cyber naissent de l’incompréhension entre les directions de l’entreprise qui n’ont pas d’expertise IT et des équipes cyber qui tiennent à leur culture technique et jargonnante. La direction générale peut à nouveau prendre l’initiative pour créer le langage commun qui crée un pont entre les équipes cyber et les métiers. Cet « espéranto de la cyber » gagne à se concentrer sur : la réduction des risques, la protection de la réputation et la résilience de l’organisation.
La réalisation d’une cartographie des risques précise est une opportunité précieuse pour le RSSI de créer l’alignement de toutes les parties prenantes autour des objectifs et moyens de son programme. Cette cartographie est aussi l’occasion de comprendre quelle est l’appétence au risque cyber de l’entreprise et de la formaliser. Comme souvent, le chemin compte au moins autant que le résultat (le document de cartographie) pour créer un dialogue de confiance entre les équipes SSI et les directions métier. Le vocabulaire des risques est certes plus parlant pour les métiers, mais à condition que ces risques se traduisent en données chiffrées. Des méthodes de quantification des risques ouvertes telles que FAIR peuvent être utilisées et outillées : elles alignent toutes les parties prenantes sur une méthode commune, non technique - et permettent d’objectiver l’allocation des moyens.
Les risques établis et prioritisés permettent la création du programme pluriannuel de cyber, qui vise à réduire ces risques. La création de ce programme peut se structurer autour d’un framework standard tel que celui du NIST qui fournit un cadre méthodologique prêt à l’emploi et des bonnes pratiques détaillées. Il facilite l’évaluation de la maturité de l’organisation en matière cyber, l’obtention de certifications, etc. Enfin, la création d’un outil de pilotage de niveau direction tel qu’une « scorecard cyber », centrée sur les principales mesures de réduction des risques quantifiés les plus forts et leur financement, sur la protection de la réputation et l’amélioration de la résilience de l’entreprise, contribue largement à un dialogue productif et à l’engagement actif de la direction en soutien du programme.
Le rôle du conseil d’administration dans la gouvernance cyber
Pièce clé du dispositif de gouvernance, le rôle de supervision de l’équipe de direction revient au conseil d’administration. Sans rôle opérationnel, il impulse la direction stratégique et demande des comptes à l’équipe de direction. Comme le rappelle Jean-Paul Mazoyer, DGA du Crédit Agricole, « il n’y a plus de compassion pour les entreprises attaquées, mais presque une accusation : avez-vous bien fait tout ce qui est nécessaire ? Pouvez-vous justifier que vous étiez préparés à une attaque ? C'est plus du tout le même regard que l'on porte sur les entreprises qui ont été attaquées ».
La pression monte et la confiance des marchés et des clients est souvent en jeu. Pour tenir son rôle en matière de risque cyber, encore faut-il que le conseil d’administration ait les compétences nécessaires. De ce point de vue, la SEC aux États-Unis (Security and Exchange Commission, l’équivalent de l’Autorité des Marchés Financiers française) a donné le ton : elle a proposé en mars 2022, pour le rendre obligatoire courant 2023, un nouvel ensemble de règles intitulé « Stratégie, gouvernance, gestion du risque de cybersécurité et déclaration d’incident ».
Les entreprises américaines seront dorénavant tenues de décrire aux marchés leur capacité à mettre sous contrôle le risque cyber, en particulier : les compétences de leur conseil d’administration en matière de cybersécurité, les processus en place pour l’informer d’un incident cyber, la fréquence des échanges sur le sujet en conseil d’administration etc. Compte tenu de l’ampleur du risque cyber et de son impact sur l’entreprise, les investisseurs seront dûment informés et pourront arbitrer en conséquence.
L’Union Européenne n’est pas en reste et impose via différentes directives (NIS2 et DORA notamment), les méthodes et les pratiques à mettre en place pour se protéger d’une attaque, puis d’en minimiser les impacts si une faille du SI devait être exploitée. Le périmètre d’application de ces directives s’étend (des milliers d’entreprises de 18 secteurs d’activité sont concernées), et les potentielles amendes en cas de manquement sont de plus en plus importantes (jusqu’à 10M€ ou 2% du CA). A la perte de chiffre d’affaires ou à la dégradation de réputation vient donc s’ajouter la menace de lourdes sanctions financières de la part du régulateur. Une forme de double peine qui impose la réduction du risque cyber comme élément central de la stratégie d’entreprise.
Actions à considérer par les directions
● Réaliser une cartographie des risques cyber et les quantifier à l’aide de la méthodologie FAIR un programme de cybersécurité pluriannuel prenant en compte l’appétence au risque de l’organisation en s’appuyant sur un référentiel standard, de type NIST.
● Repenser ce qui peut être traité dans un sous-comité (audit, risques ou cyber) ou/et en conseil d’administration plénier, à une fréquence trimestrielle à minimal.