La majorité des DSI le savent : convaincre leur conseil d’administration de renforcer la sécurité informatique est un redoutable défi. Et l’entrée en application du RGPD n’est pas (toujours) un argument efficace. Voici deux raisons qui peuvent jouer en votre faveur.
Selon IBM, le coût moyen d’une atteinte à la protection des données est de 3,86 millions de dollars, pour une valeur moyenne de 150 dollars par document. 84 % des entreprises françaises déclarent avoir été victimes d’attaques informatiques indique une étude Cisco de 2018.
Mais ces chiffres peuvent laisser de marbre certains membres de votre COMEX… Pour eux, les dépenses en matière de cybersécurité ne sont que des frais supplémentaires.
« Ce que l’on conçoit bien s’énonce clairement » recommandait Nicolas Boileau. Appliquez à la lettre ce conseil pour expliquer pourquoi justement la cybersécurité représente un investissement dans la pérennité de votre organisation.
Donc, pas de jargon ni de termes par trop techniques, voire abscons ! Votre démonstration peut être convaincante si elle s’articule en deux étapes.
Étape 1 : Évaluer et prioriser les risques
La protection totale de vos actifs n’est ni réaliste ni envisageable, c’est pourquoi il est indispensable de cibler vos investissements en matière de cybersécurité
Il est donc important de prioriser les actifs (personnes, locaux et données), les vulnérabilités et les menaces. Cette analyse aidera à quantifier les risques potentiels pour le conseil et à préparer une feuille de route. Vous aurez ainsi un argument cohérent en faveur de l’investissement dans la sécurité.
Étape 2 : Comprendre votre supply chain
Plus que jamais, vous partagez des informations et effectuez des transactions numériques. Vos relations avec vos clients et fournisseurs vous exposent à de nouveaux domaines de risques. C’est le cas en particulier de votre supply chain. Même si le réseau informatique de votre organisation est protégé, votre intermédiaire ou votre partenaire ne l’est peut-être pas !
C’est une lacune qu’il convient de présenter et d’expliciter à votre conseil d’administration. Pour deux raisons.
Premièrement, le RGPD impose dorénavant une coresponsabilité entre le responsable du traitement (votre entreprise) et vos prestataires (appelés les sous-traitants ou ST). Il est donc indispensable de vérifier le niveau de sécurité de vos ST et même de leur indiquer vos consignes.
Deuxièmement, dans un monde hyper connecté, une vulnérabilité dans la supply chain peut avoir un impact majeur sur votre activité, vos résultats financiers ou votre image de marque.
Certes l’analyse des risques de votre supply chain prendra du temps (nécessité de faire des audits techniques et juridiques) et des ressources internes et externes. Mais ce travail améliorera votre résilience globale et réduira le nombre de perturbations. Par conséquent, votre organisation subira moins de dommages et aura entamé sa mise en conformité avec le RGPD.
Élaborer une stratégie de cybersécurité c’est construire la confiance dans un futur numérique.
Source : Forbes.com