La 22e édition de l’étude annuelle EY sur la cybersécurité constate que les menaces sont plus présentes que jamais, avec des techniques de plus en plus innovantes et avec des motivations très diverses. Les RSSI doivent établir des relations étroites avec les autres métiers pour anticiper les risques.
En se basant sur les réponses de plus de 1300 organisations, EY indique que les conseils d’administration et les directions générales s’engagent de plus en plus pour répondre aux menaces.
Mais il reste encore énormément de travail à accomplir, notamment pour surveiller ces risques en constante évolution et s’adapter aux innovations toujours plus rapides.
« Face à ces menaces croissantes, les fonctions de cybersécurité doivent devenir de véritables catalyseurs de changement et mettre en place une sécurité intégrée, où de nouvelles relations s’établissent entre les responsables de la sécurité des informations (RSSI ou CISO), le comité de direction et toutes les fonctions de l’entreprise », indique ce cabinet.
Le nombre croissant de cyberpirates activistes, qui représentent la seconde source d’attaques significatives la plus courante, démontre qu’il est nécessaire que la fonction cybersécurité ait une compréhension beaucoup plus approfondie de l’environnement professionnel de son entreprise.
Cela signifie que les RSSI, le comité de direction et les dirigeants doivent collaborer étroitement avec le reste de l’entreprise, afin que la cybersécurité soit intégrée à un stade beaucoup plus précoce du cycle de vie des nouvelles initiatives commerciales, et pour développer une culture de sécurité intégrée dès leur conception.
« Établir des relations plus solides avec le reste de l'entreprise et le comité de direction, une meilleure compréhension des impératifs commerciaux, et une capacité à anticiper les cyberrisques, permettrait aux RSSI d’être au cœur de la transformation de leur entreprise », estime EY.
Pour ce faire, ils doivent adopter un nouvel état d’esprit, et acquérir de nouvelles compétences dans des domaines tels que la communication, la négociation et la collaboration. Mais pour l’instant, les objectifs semblent opposés.
Les RSSI qui deviendront alors de puissants catalyseurs de changement seront ceux qui, au lieu de refuser de nouvelles initiatives, les accepteront en définissant les conditions de sécurité.
La cybersécurité au cœur du processus d’innovation
Il est essentiel que les organisations développent des structures de reporting et des moyens de quantifier la valeur de la cybersécurité qui trouvent écho chez le conseil d'administration.
Une étape clé consiste à mettre en œuvre un programme de qualification des impacts, voire de quantification des cyber risques pour une meilleure communication sur ce sujet et monter en puissance dans les discours des comités de direction.
Ces derniers devraient justement reconsidérer les rapports hiérarchiques, le contrôle budgétaire et la responsabilité pour diffuser le nouveau rôle de la cybersécurité au cœur du processus d’innovation.
Une fois ces éléments définis, développer un ensemble d’indicateurs de performance et de risque clé qui peuvent être utilisés pour communiquer une vision axée sur le risque dans les rapports des dirigeants et des comités de direction.
Ces indicateurs consolidés sous forme de tableaux doivent permettre aux comités de direction et aux équipes dirigeantes de vérifier l’efficacité des projets de cybersécurité engagés de manière continue.
Il conviendrait de transformer la cybersécurité en un catalyseur clé dans la transformation digitale. EY insiste sur le fait d’intégrer la cybersécurité dans les processus de l’entreprise grâce à une approche « Security by Design ». Enfin, les responsables de la cybersécurité doivent avoir un sens commercial, une capacité à communiquer dans un langage que l'entreprise comprend et une volonté de trouver des solutions aux problèmes de sécurité plutôt que de dire « non ».