#Cybersécurité – Alors que s’ouvre l’édition 2018 des Assises de la Cybersécurité, le Cigref publie le rapport : Cybersécurité : Visualiser, comprendre, décider issu de son groupe de travail « Tableau de bord cybersécurité ».
Ce 9 octobre 2018, Jean-Claude Laroche, Président du Cercle Cybersécurité du Cigref, DSI d’Enedis, co-présidera la Commission Gouvernance du Before des Assises de la Cybersécurité. Il aura ainsi l’occasion de présenter cette publication lors de ce rendez-vous incontournable pour tous les acteurs et décideurs de la cybersécurité en France.
Aujourd’hui, sous l’effet de la transformation numérique et de la dématérialisation des processus physiques, les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes de leurs systèmes d’information. Il est donc vital pour l’entreprise que ceux-ci soient protégés. La cybersécurité répond à cet enjeu de protection et de confiance avec les clients et les prospects. Les dirigeants demandent et doivent avoir confiance dans le niveau de sécurisation de l’activité dont ils portent la responsabilité. Pour assurer le niveau adéquat d’investissement pour couvrir le risque cyber, ils ont besoin d’une présentation ou d’un rapport qui leur permette d’identifier les risques, de les qualifier et de les valoriser à l’aide d’indicateurs pertinents.
#Cybersécurité : Quelles informations stratégiques et indicateurs indispensables à présenter au COMEX ?
L’analyse des risques de sécurité informatique doit être transverse et globale à l’entreprise. C’est pourquoi la gouvernance cyber est portée par un manager qui couvre l’ensemble des activités de l’entreprise. Selon l’organisation, ce sera le directeur des systèmes d’information (DSI), le directeur cyber ou encore le risk manager. Ce manager a pour mission de sensibiliser les dirigeants des entreprises ou des administrations publiques en fonction du contexte, de leur présenter comment une cyberattaque est susceptible de porter atteinte de manière significative à l’activité de l’entreprise, à sa valeur, à ses actifs et à sa réputation, voire de manière ultime à mettre en danger sa survie, et de proposer des mesures adaptées pour couvrir ce risque.
Le groupe de travail Cigref a identifié et structuré les informations stratégiques et les indicateurs indispensables dans un tableau de bord cybersécurité à présenter au COMEX et au Conseil d’administration. En l’adaptant aux spécificités de son entreprise ou administration publique, le DSI, ou le manager responsable de la gouvernance cyber, a les éléments pour construire un rapport qui présente de manière extrêmement synthétique et accessible à des non spécialistes le bon niveau d’information aux décideurs. Cela repose sur l’équilibre entre des données d’actualité, des informations qualitatives, des analyses de risques consolidées, des éléments de coûts et des indicateurs quantitatifs agrégés.
Son contenu doit comporter systématiquement les rubriques suivantes :
- Description succincte des activités les plus exposées et chiffres clés du système d’information (SI) ;
- Niveau d’ouverture du SI à l’externe et aperçu de son exposition ;
- Etat de la menace et éléments d’actualité ;
- Points essentiels de vulnérabilité de l’entreprise ;
- Synthèse de l’analyse globale des risques de sécurité informatique et éléments sur les analyses de risques
par secteur de l’entreprise ; - Points clés opérationnels ;
- Plans d’action en cours et à venir.
Surmonter le choc cybernétique et accroître sa résilience
En complément de la sécurisation des SI, il devient nécessaire d’aborder la question de la résilience. La situation générée en 2017 dans certaines entreprises par des attaques comme « NotPetya » oblige à considérer que même si certains risques cyber ressortent aujourd’hui avec une probabilité faible, leur réalisation doit être considérée comme possible et l’entreprise doit s’y préparer dès à présent. Nous entrons en effet dans une époque de « guerre cybernétique » dont chaque entreprise peut être soit une cible soit une victime collatérale. Le directeur des SI, soutenu par ses dirigeants et entouré par ses équipes opérationnelles, doit dès à présent se préparer à une crise résultant d’une attaque informatique majeure réussie et réfléchir aux mesures d’urgence à mettre en place dès les premières minutes/heures. En effet, dans les situations extrêmes, l’implication directe du directeur des SI est le facteur déterminant de la capacité de l’entreprise à surmonter le choc cybernétique.