Gouvernance et Cyber risque, un sujet d’Assises… de la Sécurité des Systèmes d’Information !
Il n’est sans doute pas de dirigeant d’entreprise qui n’ait présent à l’esprit l’éventualité du cyber risque ! L’oublieraient-ils que régulièrement, quelques très médiatiques piratages de données seraient là pour le leur rappeler. Non moins emblématique, le fait que, si la cybersécurité nourrit la fiction depuis longtemps, elle s’invite désormais sur le petit écran au travers de séries comme « Mr. Robot » ou « Les Experts Cyber »… Ces séries ont la particularité est d’être plus proches de la réalité que de la fiction. Elles font écho à des piratages et autres rançonnages ou dénis de services entrainant des paralysies de quelques grands sites web que nous avons tous pu ressentir.
Il devient donc de plus en plus difficile de penser que le cyber risque n’arrive qu’aux autres ! Dans ce contexte, comment l’entreprise peut-elle aborder cet enjeu majeur pour sa compétitivité, voire sa survie ? Le cyber risque doit-il s’inviter au niveau du Top Management de l’entreprise ou demeurer un sujet d’experts ? Pour aider les dirigeants à répondre à ces questions, le CIGREF a publié un rapport : « Le cyber risque dans la gouvernance de l’entreprise ».
De plus, gouvernance et cyber risque se sont invités aux Assises de la Sécurité des Systèmes d’Information dans une Table Ronde proposée par le CIGREF pour approfondir cette question auprès des experts en sécurité des systèmes d’information : « La sécurité des SI est-elle réellement un sujet de Comex ? ».
- Pascal BUFFARD, Président du CIGREF, Président d’AXA Technology Services
- Pascal BASSET, CIO & Group CISO PMU
- Jean-Jacques TOURRE, RSSI Groupe TOTAL
- Jean-Claude LAROCHE, Président du cercle Cyber du CIGREF et DSI EDF
Un enjeu pour le CIGREF : sensibiliser le plus grand nombre au cyber risque
Pascal BUFFARD rappelle les engagements de longue date du CIGREF en matière de cybersécurité. Un engagement qui s’est manifesté par des actions de sensibilisation :
Un Serious Game baptisé « Keep an Eye » en 2015, pour apprendre aux collaborateurs à devenir « ange gardiens » de leur entreprise :
Une campagne grand public, la Hack Academy, avec une série de 4 films jouant sur l’humour pour évoquer 4 situations à risque de nos usages numériques.
Des formations, comme le cycle « Sécurité des usages numériques » avec l’INHESJ. Une formation, labélisée par l’ANSSI, dont la 7ème session débute en novembre.
Ou encore la création d’un Cercle Cyber présidé par Jean-Claude LAROCHE et un Groupe de Travail au sein du CIGREF, piloté par Jean-Jacques TOURRE, qui a conduit à la publication du rapport (librement accessible) qui sert de cadre à cette Table Ronde : « Le cyber risque dans la gouvernance de l’entreprise, Pourquoi et comment en parler en Comex ? ».
Pascal BUFFARD précise que pour 2020, l’ambition du CIGREF est de poursuivre ses actions de sensibilisation en direction du plus grand nombre et notamment des dirigeants, pour faire du cyber risque un sujet de Comité Exécutif et de Conseil d’Administration.
Le cyber risque n’est plus « une complainte de RSSI »… il est entré dans la société !
Jean-Jacques TOURRE, RSSI Groupe TOTAL et pilote du Groupe de Travail CIGREF sur la cybersécurité, rappelle que le coût du cyber risque dépasse les 400 milliards de dollars. C’est désormais une menace multiple, internationale, structurée, sophistiquée, complexe et qui va croissant. Si le cyber risque a longtemps été entendu comme un sujet d’experts, voire comme une « complainte de RSSI »… les médias rappellent chaque jour qu’il est devenu un sujet de société.
D’un côté, la perception de la menace est croissante et de l’autre, le RSSI est confronté à une offre commerciale pléthorique. Il se trouve aussi parfois face à des dirigeants qui ne sont pas très réceptifs.
Le groupe de travail du CIGREF a abordé toutes les dimensions liées à la cybersécurité et recueilli les avis de divers intervenants pour établir dans quelle mesure le cyber risque devait être un sujet de Comité Exécutif ou de Conseil d’Administration.
Il en ressort que le bon axe pour aborder les risques numériques est qu’ils trouvent leur place dans la cartographie des risques de l’entreprise. Il apparait également que leur importance varie selon les domaines d’activités de l’entreprise. Le socle minimum est celui de l’hygiène informatique. Les mesures à mettre en place varient en fonction de l’entreprise.
Pour certaines entreprises, la protection des données personnelles sera un élément clé. Il peut aussi y avoir des problématiques de conformité, de supply chain… qui peuvent être vitales selon l’activité de l’entreprise. Il est donc fondamental d’avoir effectué des analyses de risques, afin de débloquer les moyens adéquats pour y faire face. On doit être en mesure d’apporter des arguments pertinents permettant d’investir sur la cybersécurité. Une évaluation en amont du cyber risque permet de prévoir des projets de sensibilisation, d’exercices de crise mobilisant les dirigeants.
Adresser le cyber risque au bon niveau de l’entreprise
Pascal BASSET, RSSI Groupe PMU, insiste, en préalable sur le fait que le cyber risque est avant tout un sujet organisationnel et une question de process.
Si une entreprise, totalement numérique comme le PMU, est confrontée à une cyber attaque, ce sont avant tout ses clients qui sont concernés. En cas de fuite de données clients, l’image de l’entreprise est également affectée.
Il est donc essentiel de travailler pour que le risque soit adressé au bon niveau et non plus seulement par des opérationnels sur le terrain.
Au sein du PMU, le risque numérique est aujourd’hui porté par le Comex. Cela a pris quelques années, mais une fois arrivé à ce stade, chaque projet Métier est évalué à l’aune de la cybersécurité. De même, dans le cadre du plan d’audit, chaque année on présente ce qui a été couvert, et on explique cette couverture. Cela permet de démontrer que tous les aspects citriques ont été traités.
Mais la cybersécurité ne s’arrête pas au Comex ou au Conseil d’Administration, il faut continuer à sensibiliser et aller plus loin parce que nous sommes dans des entreprises distribuées, il faut étendre cette notion aussi chez les fournisseurs.
Comment aller parler cyber risque au niveau du Comex ?
Jean-Claude LAROCHE, Président du Cercle Cyber du CIGREF et DSI EDF, souligne que le cyber risque fait également partie des risques principaux au niveau du groupe.
On constate que les Comex sont de plus en plus sensibilisés. Dans le paysage réglementaire le nombre de menaces augmente. L’article 22 de la loi de Programmation Militaire concerne certaines entreprises et toutes le sont par le règlement européen sur la protection des données personnelles. La transformation numérique passe par une ouverture accrue des systèmes d’information de l’entreprise. Parfois, dans le concept d’entreprise étendue, le cœur du cœur se retrouve à l’extérieur. Cela change les paradigmes et crée un paysage de risques qui mérite d’être abordé au plus haut niveau de l’entreprise.
Mais il n’est pas simple, pour le DSI, d’aller parler au Comex face à des dirigeants pour qui les Systèmes d’information et leur sécurité ne sont pas des domaines connus. Cette méconnaissance peut pousser les dirigeants à s’interroger sur la perception à donner à ce qui leur est présenté. Aussi, la question centrale pour la personne qui va devant le Comex est de savoir comment il peut inspirer confiance sur la pertinence des mesures qu’il propose. Les zones de crédibilité du DSI qui va présenter un paysage de risques et des mesures de couverture, peuvent être plus ou moins fortes. Son parcours et celui du RSSI sont des points clés pour établir cette confiance.
Il est important de présenter des contenus structurés et qui font sens pour l’entreprise et ses enjeux. Pour cela Jean-Claude LAROCHE évoque trois axes principaux :
– Le facteur humain
– La gouvernance et les doctrines en matière de défense et de protection
– La complémentarité maximale entre le DSI et le RSSI
La confiance entre le DSI et le RSSI est centrale pour pouvoir faire savoir au Comex qu’ils ont des interlocuteurs comprenant les problématiques stratégiques de l’entreprise. Des interlocuteurs parlant avec un important background d’expertise, et sont capables d’appréhender les problématiques des Métiers.
Ecouter la Table ronde CIGREF
Animée par Jean-François PEPIN, Délégué Général du CIGREF
« La SSI est-elle réellement un sujet de Comex ? » (35′)
__________
Cet article s’appuie sur les notes prises pendant cette table ronde, avec tous les risques d’interprétation que cela induit : il n’engage pas les personnes citées.