[Publication] Cybersécurité : Visualiser, comprendre, décider

9 octobre 2018 | ACTUALITÉS, Communiqués, Publications du Cigref, Publications par thèmes, Risques numériques

#Cybersécurité – Alors que s’ouvre l’édition 2018 des Assises de la Cybersécurité, le Cigref publie le rapport : Cybersécurité : Visualiser, comprendre, décider issu de son groupe de travail « Tableau de bord cybersécurité ».

Ce 9 octobre 2018, Jean-Claude Laroche, Président du Cercle Cybersécurité du Cigref, DSI d’Enedis, co-présidera la Commission Gouvernance du Before des Assises de la Cybersécurité. Il aura ainsi l’occasion de présenter cette publication lors de ce rendez-vous incontournable pour tous les acteurs et décideurs de la cybersécurité en France.

Aujourd’hui, sous l’effet de la transformation numérique et de la dématérialisation des processus physiques, les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes de leurs systèmes d’information. Il est donc vital pour l’entreprise que ceux-ci soient protégés. La cybersécurité répond à cet enjeu de protection et de confiance avec les clients et les prospects. Les dirigeants demandent et doivent avoir confiance dans le niveau de sécurisation de l’activité dont ils portent la responsabilité. Pour assurer le niveau adéquat d’investissement pour couvrir le risque cyber, ils ont besoin d’une présentation ou d’un rapport qui leur permette d’identifier les risques, de les qualifier et de les valoriser à l’aide d’indicateurs pertinents.

#Cybersécurité : Quelles informations stratégiques et indicateurs indispensables à présenter au COMEX ?

L’analyse des risques de sécurité informatique doit être transverse et globale à l’entreprise. C’est pourquoi la gouvernance cyber est portée par un manager qui couvre l’ensemble des activités de l’entreprise. Selon l’organisation, ce sera le directeur des systèmes d’information (DSI), le directeur cyber ou encore le risk manager. Ce manager a pour mission de sensibiliser les dirigeants des entreprises ou des administrations publiques en fonction du contexte, de leur présenter comment une cyberattaque est susceptible de porter atteinte de manière significative à l’activité de l’entreprise, à sa valeur, à ses actifs et à sa réputation, voire de manière ultime à mettre en danger sa survie, et de proposer des mesures adaptées pour couvrir ce risque.

Le groupe de travail Cigref a identifié et structuré les informations stratégiques et les indicateurs indispensables dans un tableau de bord cybersécurité à présenter au COMEX et au Conseil d’administration. En l’adaptant aux spécificités de son entreprise ou administration publique, le DSI, ou le manager responsable de la gouvernance cyber, a les éléments pour construire un rapport qui présente de manière extrêmement synthétique et accessible à des non spécialistes le bon niveau d’information aux décideurs. Cela repose sur l’équilibre entre des données d’actualité, des informations qualitatives, des analyses de risques consolidées, des éléments de coûts et des indicateurs quantitatifs agrégés.

Son contenu doit comporter systématiquement les rubriques suivantes :

  • Description succincte des activités les plus exposées et chiffres clés du système d’information (SI) ;
  • Niveau d’ouverture du SI à l’externe et aperçu de son exposition ;
  • Etat de la menace et éléments d’actualité ;
  • Points essentiels de vulnérabilité de l’entreprise ;
  • Synthèse de l’analyse globale des risques de sécurité informatique et éléments sur les analyses de risques
    par secteur de l’entreprise ;
  • Points clés opérationnels ;
  • Plans d’action en cours et à venir.

Surmonter le choc cybernétique et accroître sa résilience

En complément de la sécurisation des SI, il devient nécessaire d’aborder la question de la résilience. La situation générée en 2017 dans certaines entreprises par des attaques comme « NotPetya » oblige à considérer que même si certains risques cyber ressortent aujourd’hui avec une probabilité faible, leur réalisation doit être considérée comme possible et l’entreprise doit s’y préparer dès à présent. Nous entrons en effet dans une époque de « guerre cybernétique » dont chaque entreprise peut être soit une cible soit une victime collatérale. Le directeur des SI, soutenu par ses dirigeants et entouré par ses équipes opérationnelles, doit dès à présent se préparer à une crise résultant d’une attaque informatique majeure réussie et réfléchir aux mesures d’urgence à mettre en place dès les premières minutes/heures. En effet, dans les situations extrêmes, l’implication directe du directeur des SI est le facteur déterminant de la capacité de l’entreprise à surmonter le choc cybernétique.

Télécharger le rapport

Saisir les opportunités de l’IA pour un numérique responsable : nouveau rapport disponible !

Numeum, l’Institut G9+, le Cigref, Planet Tech Care et le Hub France IA, ont dévoilé un rapport inédit intitulé « Green AI & AI for green ». Fruit d’une étude qualitative menée auprès de 72 professionnels – Directeurs des Systèmes d'Information (DSI), Chief Data...

Anticiper les cyberattaques : de la surveillance à la gestion de crise

Dans un monde de plus en plus connecté, les entreprises, grandes ou petites, se retrouvent désormais exposées à des cyberattaques de toutes sortes. La numérisation rapide des organisations a considérablement étendu leur surface d'attaque, créant ainsi un défi majeur...

Le Cigref et ses partenaires européens publient un Manifeste pour les élections européennes.

Nos quatre associations, Beltug en Belgique, Cigref en France, CIO Platform Nederland aux Pays-Bas et Voice en Allemagne, qui représentent collectivement plus de mille grandes entreprises européennes utilisatrices de technologies numériques, ont identifié quatre...

Metaverse: Demystification and the road ahead

This report on metavers, produced by the Cigref working group led by Malika Mir, Director of Information Systems at GROUPE BEL, and Olivier Le Garlantezec, Digital Tech Partnerships Director at LVMH Group, explores the various issues facing organisations and society...