Prévenir et anticiper les risques
En dépit des investissements émis par les entreprises et les dirigeants dans les meilleures solutions de cybersécurité, certaines attaques parviendront occasionnellement à pénétrer leurs systèmes. Ainsi, la clé est de se préparer en amont afin que les équipes réagissent rapidement et efficacement en cas d’attaque.Ainsi, chaque entreprise doit impérativement mettre en place un plan indiquant clairement aux différentes équipes ce qui est attendu d’elles en cas d’incident – en termes de bonnes pratiques ou de conformité réglementaire. Ce plan doit notamment préciser les données et les actifs à protéger en priorité, indiquer les critères constitutifs d’un incident grave et fournir les processus pour l’information du conseil d’administration et des autorités de réglementation compétentes. Un bon dirigeant doit également savoir juger l’impact professionnel et émotionnel des cyberattaques sur l’ensemble des équipes. Sa capacité à définir des lignes directrices claires sera importante pour éviter toute panique en cas de cyberattaque.
Par ailleurs, la mise en place d’un tel plan permettra d’éviter les conflits entre les objectifs de l’entreprise, la conformité réglementaire et l’interprétation concrète de ces enjeux par l’équipe de cybersécurité. Ceci contribuera à réduire les risques d’une mauvaise communication aux conséquences délétères pour l’entreprise. Les dirigeants doivent donc s’assurer qu’un plan solide et à jour est en place ; faute de quoi, il leur incombe d’exiger de l’entreprise d’en créer un de toute urgence.
L’investissement en cybersécurité comme un moteur d’activité
Au moment de choisir des technologies à adopter, il est facile d’accorder la priorité aux nouvelles opportunités commerciales, qu’il s’agisse de vente en ligne, de chaînes d’approvisionnement internationales ou de segments de marché supplémentaires. Dans ce modèle traditionnel, l’investissement dans des solutions de cybersécurité sont souvent décidée sa posteriori, ce qui aboutit inévitablement à des performances médiocres, un manque d’évolutivité et des frais élevés.Pourtant, quels que soient les axes de développement d’une entreprise, une sécurité fiable jouera toujours un rôle crucial dans la protection et la préservation de ses données. La cybersécurité doit donc être considérée comme un élément moteur de l’activité plutôt que comme un simple centre de coûts à contrôler. En effet, les programmes de protection les plus performants s’attaquent à des problèmes ou à des risques commerciaux majeurs en assurant la protection de la propriété intellectuelle des entreprises, la sécurisation des données des clients et la gestion sécurisée du télétravail. Il s’agit donc d’une fonction essentielle pour fournir des produits et des services rapidement et à moindre risque, afin de bénéficier d’un véritable avantage concurrentiel.
Pour un conseil d’administration, adopter une approche proactive de la cybersécurité et les efforts consentis dans ce domaine représentent des investissements stratégiques nécessaires à la protection des actifs numériques et physiques et des processus essentiels de leur entreprise. La sérénité d’esprit résultant de ces efforts sera essentielle pour permettre aux administrateurs de montrer plus d’audace et d’esprit d’entreprise dans leurs décisions.
Envisager la cybersécurité comme une responsabilité de tous
Adopter une approche globale pour intégrer les principes de cybersécurité et la sensibilisation à tous les niveaux d’une entreprise est essentiel. Les équipes de sécurité sont responsables seulement en dernier ressort des opérations de cybersécurité. En effet, la prévention des attaques visant les réseaux suppose un effort collectif de toutes les équipes.Le conseil d’administration doit donc s’assurer que l’entreprise dispose d’un plan de cybersécurité solide et qu’elle procède régulièrement à des évaluations de ses vulnérabilités afin d’identifier les faiblesses potentielles de ses systèmes et réseaux. Des formations de cybersécurité devraient ainsi être dispensées régulièrement à tous les employés, cadres supérieurs compris, afin de les sensibiliser aux dernières menaces et de leur expliquer comment y faire face.
Identifier le meilleur management pour y intégrer la cybersécurité
Trop souvent, les discussions sur la cybersécurité ne portent que sur des questions technologiques et sur l’actualité des menaces, des attaques et autres incidents potentiels, sans tenir compte de l’importance du rôle du responsable.De fait, le choix d’un responsable de la sécurité représente un enjeu complexe. Quel profil retenir pour recruter une personne capable de fournir des informations instructives sur l’actualité de la cybersécurité ? Quelle sera sa crédibilité ? Sa fiabilité ? Possèdera-t-elle les aptitudes et les compétences nécessaires pour fournir aux membres du conseil d’administration les renseignements dont ils ont besoin pour s’acquitter de leur devoir de diligence ? Se jouant à tous les niveaux de l’entreprise, la gestion des risques liés aux réseaux en ligne n’est pas seulement du ressort de l’équipe de cybersécurité. Il est donc essentiel d’embaucher des responsables capables d’interagir avec l’ensemble des équipes afin de parer les menaces de sécurité sous toutes leurs formes.Les dirigeants doivent cesser de traiter la cybersécurité comme un domaine isolé réservé aux experts techniques, mais la considérer plutôt comme une fonction essentielle de l’entreprise à gérer de manière proactive au vu de leurs objectifs à long terme. Malgré une évolution des technologies à un rythme accéléré, les principes fondamentaux de la sécurité restent assez stables. Ainsi, en se posant les bonnes questions au bon moment, et en envisageant des solutions telles que le zéro trust ou une architecture SASE, les conseils d’administration et les dirigeants pourront s’assurer que leur entreprise est mieux équipée pour planifier la gestion des risques dans un environnement toujours plus complexe.
Par Shamla Naidoo, Head of Cloud Strategy and Innovation chez Netskope
