[Publication] Cybersécurité : Visualiser, comprendre, décider

9 octobre 2018 | ACTUALITÉS, Communiqués, Publications du Cigref, Publications par thèmes, Risques numériques

#Cybersécurité – Alors que s’ouvre l’édition 2018 des Assises de la Cybersécurité, le Cigref publie le rapport : Cybersécurité : Visualiser, comprendre, décider issu de son groupe de travail « Tableau de bord cybersécurité ».

Ce 9 octobre 2018, Jean-Claude Laroche, Président du Cercle Cybersécurité du Cigref, DSI d’Enedis, co-présidera la Commission Gouvernance du Before des Assises de la Cybersécurité. Il aura ainsi l’occasion de présenter cette publication lors de ce rendez-vous incontournable pour tous les acteurs et décideurs de la cybersécurité en France.

Aujourd’hui, sous l’effet de la transformation numérique et de la dématérialisation des processus physiques, les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes de leurs systèmes d’information. Il est donc vital pour l’entreprise que ceux-ci soient protégés. La cybersécurité répond à cet enjeu de protection et de confiance avec les clients et les prospects. Les dirigeants demandent et doivent avoir confiance dans le niveau de sécurisation de l’activité dont ils portent la responsabilité. Pour assurer le niveau adéquat d’investissement pour couvrir le risque cyber, ils ont besoin d’une présentation ou d’un rapport qui leur permette d’identifier les risques, de les qualifier et de les valoriser à l’aide d’indicateurs pertinents.

#Cybersécurité : Quelles informations stratégiques et indicateurs indispensables à présenter au COMEX ?

L’analyse des risques de sécurité informatique doit être transverse et globale à l’entreprise. C’est pourquoi la gouvernance cyber est portée par un manager qui couvre l’ensemble des activités de l’entreprise. Selon l’organisation, ce sera le directeur des systèmes d’information (DSI), le directeur cyber ou encore le risk manager. Ce manager a pour mission de sensibiliser les dirigeants des entreprises ou des administrations publiques en fonction du contexte, de leur présenter comment une cyberattaque est susceptible de porter atteinte de manière significative à l’activité de l’entreprise, à sa valeur, à ses actifs et à sa réputation, voire de manière ultime à mettre en danger sa survie, et de proposer des mesures adaptées pour couvrir ce risque.

Le groupe de travail Cigref a identifié et structuré les informations stratégiques et les indicateurs indispensables dans un tableau de bord cybersécurité à présenter au COMEX et au Conseil d’administration. En l’adaptant aux spécificités de son entreprise ou administration publique, le DSI, ou le manager responsable de la gouvernance cyber, a les éléments pour construire un rapport qui présente de manière extrêmement synthétique et accessible à des non spécialistes le bon niveau d’information aux décideurs. Cela repose sur l’équilibre entre des données d’actualité, des informations qualitatives, des analyses de risques consolidées, des éléments de coûts et des indicateurs quantitatifs agrégés.

Son contenu doit comporter systématiquement les rubriques suivantes :

  • Description succincte des activités les plus exposées et chiffres clés du système d’information (SI) ;
  • Niveau d’ouverture du SI à l’externe et aperçu de son exposition ;
  • Etat de la menace et éléments d’actualité ;
  • Points essentiels de vulnérabilité de l’entreprise ;
  • Synthèse de l’analyse globale des risques de sécurité informatique et éléments sur les analyses de risques
    par secteur de l’entreprise ;
  • Points clés opérationnels ;
  • Plans d’action en cours et à venir.

Surmonter le choc cybernétique et accroître sa résilience

En complément de la sécurisation des SI, il devient nécessaire d’aborder la question de la résilience. La situation générée en 2017 dans certaines entreprises par des attaques comme « NotPetya » oblige à considérer que même si certains risques cyber ressortent aujourd’hui avec une probabilité faible, leur réalisation doit être considérée comme possible et l’entreprise doit s’y préparer dès à présent. Nous entrons en effet dans une époque de « guerre cybernétique » dont chaque entreprise peut être soit une cible soit une victime collatérale. Le directeur des SI, soutenu par ses dirigeants et entouré par ses équipes opérationnelles, doit dès à présent se préparer à une crise résultant d’une attaque informatique majeure réussie et réfléchir aux mesures d’urgence à mettre en place dès les premières minutes/heures. En effet, dans les situations extrêmes, l’implication directe du directeur des SI est le facteur déterminant de la capacité de l’entreprise à surmonter le choc cybernétique.

Télécharger le rapport

Guide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes.  À partir du 2 février 2025,...

Guide de mise en œuvre de l’AI Act : Points clés – Introduction

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes. Ce guide pratique s'adresse à...

Migration dans le cloud : point d’étape

Après deux années de travaux sur la migration vers le cloud, de 2020 à 2022, le Cigref avait marqué une pause sur ce sujet. L'objectif de cette interruption était de permettre aux organisations de poursuivre leur programme de migration et de recueillir, l'année...

IT Job Profiles Nomenclature 2024 version

Since 1991, Cigref has maintained a nomenclature of existing job profiles in the digital departments of Cigref member companies. This tool does not represent what IS professions "should" or "will" be, but what they are today in these organizations. It therefore...

Cloud migration : update

After two years of work on cloud migration, from 2020 to 2022, Cigref took a break from the subject. The aim of this pause was to allow organisations to continue with their migration programme and to gather updated, clear and constructive feedback the following year....