Comme leurs collègues de la DSI, plus de la moitié des RSSI qui sont garants de la sécurité numérique de leur organisation, « peinent à communiquer sur cet enjeu dans un langage compréhensible de leur conseil d’administration » d’après Bharat Mistry, Directeur technique de Trend Micro. La dernière étude internationale de cet acteur de la cybersécurité, portant sur 2600 RSSI, livre quelques enseignements intéressants.
Indicateur édifiant de l’écart de perception entre les équipes de sécurité et la direction, selon 80 % des répondants, le conseil d'administration ne serait incité à agir que si une attaque réussie dépasse un seuil de perte financière de 165.000 €. Même si ce résultat d’enquête doit être pondéré, il témoigne du chemin qui reste à parcourir pour situer l’impact des attaques et aligner les stratégies de ces deux parties
A la clé, ce manque de cohérence, peut conduire à l'achat ponctuel de solutions de sécurité qui ne résolvent pas les problèmes mais ajoutent de la complexité et donc, des coûts supplémentaires inutiles.
Au plan international, 79 % des responsables mondiaux de la cybersécurité disent avoir subi des pressions de la part du conseil d'administration pour minimiser la gravité des risques auxquels leur organisation est confrontée. Parmi les répondants, 43 % déclarent que la direction et le conseil d’administration ne sont pas conscients de la gravité des risques, 43 % disent qu’ils sont perçus comme tatillons et répétitifs. Enfin, 42 % des RSSI estiment être considérés comme trop négatifs.
En France, plus de moitié des RSSI pensent que leurs dirigeants comprennent parfaitement les enjeux
Au-delà de ce tableau pessimiste, l’enquête apporte un contrepoint plus optimiste avec56 % des répondants estimant que leur dirigeant comprend parfaitement les risques cyber. De quoi espérer améliorer la communication. Noter cependant que 62 % du panel dit avoir eu des difficultés à démontrer les bénéfices de leur stratégie de cybersécurité.
Autre indicateur significatif, en France, une majorité écrasante des RSSI, soit 90 % d’entre eux, auraient une idée relativement claire de l’appétence de leur organisation aux risques cyber. On peut deviner qu’ils n’attribuent pas un niveau élevé à ce gout du risque de la direction et du Comex, pour rester mesuré.
Pour rappel, selon trois-quarts des RSSI, les cyberattaques réussies ont un impact très élevé en matière de risques financiers et commerciaux. Côté méthodes, les choses sont claires avec 94 % des RSSI qui disposent d’indicateurs pour mesurer la pertinence de leur posture de cybersécurité.
Pour améliorer la communication avec la direction les pistes sont connues mais il n’est pas vain de les rappeler. D’abord, les équipes de sécurité doivent utiliser un langage simple, sans trop d’acronymes ni jargon technique. Ensuite, la stratégie de cybersécurité doit être alignée sur les objectifs de l'entreprise. Bien entendu, l’utilisation de métriques (KPI) pertinentes est une étape indispensable.
D’autre part, mieux vaut rendre compte au conseil d'administration sur peu d’éléments mais plus souvent ou en fonction de l'évolution des risques réels et hiérarchisés.
Enfin, l’idéal serait de consacrer du temps à établir des relations personnelles avec les membres du conseil d'administration tout en étant conscient que cela ne se décrète pas, chaque entreprise étant spécifique. A fortiori, le personnel et dirigeants qui les composent.
