Les entreprises françaises et mondiales modifient leur approche de la cybersécurité. Soucieux de la conformité de l’entreprise et de la sécurité des données, les plus hauts dirigeants sont désormais impliqués dans les prises de décision relative à la cybersécurité.
Nous avons abordé à plusieurs reprises dans nos colonnes les effets transformateurs de la crise, non seulement sur l’accélération du cours de la transformation numérique, mais aussi ses effets sur les périmètres des compétences qui ont bougé pour les DSI. Ils bougent également pour la direction, à présent bien plus impliquée dans les affaires technologiques et sécuritaires qu’auparavant. Celle-ci considère désormais la gouvernance, le risque et la conformité comme les principales thématiques liées à cybersécurité en raison du coût et des implications pour la marque d’une violation de données ou d’une attaque par rançongiciel.
Le RGPD avait déjà amorcé le mouvement en introduisant la notion de gouvernance de la donnée et de sa sécurité, et dont la direction générale a dû se préoccuper, car entrant dans le périmètre juridique et opérationnel de l’entreprise. Ces fonctions combinent à la foi des compétences technologiques pour l’exploitation de la donnée et juridiques pour sa protection ainsi que la conformité réglementaire. Ce sont des fonctions ordinairement du ressort respectivement du CDO (Chief data officer) et du DPO (Data protection officer).
Des directions qui cherchent à mieux comprendre la cybersécurité
Concernant les problématiques de cybersécurité, et selon l’étude ISG Provider Lens Cybersécurité, les directions s’impliquent à présent bien plus dans le processus décisionnel. D’après le rapport, « les entreprises françaises modifient leur approche de la cybersécurité. Les plus hauts dirigeants, y compris hors du champ de l’informatique, sont désormais impliqués dans les prises de décision relative à la cybersécurité ». Cette tendance est mondiale selon l’étude. Avec l’importance croissante de la cybersécurité, les entreprises modifient leur approche de l’acquisition de services de sécurité stratégiques. « Les cadres supérieurs […] cherchent à mieux comprendre le sujet pour faire face aux cyberattaques ».
Lors des réunions d’information pour les besoins de l’enquête, « certains fournisseurs et prestataires participants ont indiqué que leurs clients avaient rapidement mis à jour leur logiciel de sécurité, mis en place de nouvelles mesures de cybersécurité qui étaient en cours de négociation, et accru leurs efforts pour assurer un environnement de travail à distance sécurisé ». Au-delà des aspects réglementaires, le rapport révèle que les entreprises françaises améliorent la sécurité en réponse à la pandémie. Elles sont nombreuses à mettre à jour leurs logiciels de sécurité, à adopter de nouvelles mesures et procédures qui étaient jusqu’alors à l’étude et à redoubler d’efforts pour sécuriser la pratique du travail à distance.
La notion de périmètre de sécurité bousculée par le Covid-19
Le recours massif au télétravail a profondément modifié la notion même de périmètre de cybersécurité et donc l’approche et les outils que les entreprises doivent privilégier. Les solutions de sécurité individuelles pour les postes de travail et les terminaux bénéficient d’un regain d’attention et de nouveaux efforts de développements pour augmenter leur efficacité. Aujourd’hui on estime que 80 % des attaques débutent via des terminaux utilisés par les employés.
Le rapport constate également que le cloud stimule de nouvelles tendances sur le marché de la gestion des identités et des accès. Les fournisseurs transfèrent les services de gestion des identités et des accès des locaux vers le cloud, tandis que les clients exigent des modèles de paiement à la consommation ou de gestion des identités as-a-service. Les clients exigent de nouveaux investissements dans le cloud de la part des prestataires tout en recherchant des modèles de paiement plus flexibles.
« Les nombreuses attaques par rançongiciel, compromissions de données et le climat général sur la protection des données des citoyens ont ouvert les yeux des dirigeants des entreprises sur l’importance de la question de la sécurité informatique. Puisque l’activité des entreprises repose d’une manière ou d’une autre sur des actifs numériques, il s’impose comme une évidence que ces actifs et leur protection deviennent une priorité au plus haut niveau de l’entreprise » explique M. Roüast, Partner & Président d’ISG Europe du Sud, Moyen-Orient et Afrique (SEMEA). Dans ce contexte, la connaissance des lois et règlements en vigueur est indispensable à une direction qui s’invite de plus en plus dans les questions de cybersécurité.