Professionnels de la sécurité : comment établir la confiance
Établir une relation de confiance avec votre CA
Si la perspective de rendre régulièrement compte de la situation au conseil d’administration rebute bien des responsables de la sécurité des systèmes d’information (RSSI), cet exercice n’en reste pas moins absolument nécessaire. Il est logique, après tout, que les professionnels de la sécurité soient tenus d’informer les personnes siégeant à la tête du modèle de gouvernance de l’entreprise. Relater des incidents de sécurité comme la vulnérabilité Log4j, accéder aux demandes de mise en conformité réglementaire, répondre aux inquiétudes concernant une attaque dont a été victime un acteur du même secteur... Toutes ces activités font partie des missions du RSSI. Toutefois, elles ne doivent pas être leurs seuls moments d’échange avec le conseil d’administration.
Bien au contraire, tout professionnel de la sécurité devrait s’entretenir régulièrement avec les dirigeants de son entreprise dans un but informatif et pédagogique, mais aussi dans un souci de confiance mutuelle. Ce rapprochement contribue in fine au renforcement de la posture de sécurité, ce dont nous avons tous à gagner.
Conseil d’administration : la quatrième ligne de défense
Considéré souvent à tort comme un énième groupe à qui les responsables sécurité doivent rendre des comptes, le conseil d’administration forme à lui seul une catégorie à part.
En tant qu’acteur de gouvernance, il peut et devrait en effet être envisagé comme la quatrième ligne de défense de la sécurité d’entreprise. La première ligne désigne les opérations et fonctions de sécurité quotidiennes, assurées par les équipes opérationnelles affectées au tri des incidents. La deuxième ligne renvoie à la fonction de gouvernance cyber, tandis que la fonction d’audit et de reporting internes constitue la troisième. Dans ce schéma, le conseil d’administration représenterait donc la quatrième. En conséquence, il est primordial que ces quatre lignes de défense communiquent efficacement pour combler les failles et ainsi contribuer à la cohésion des opérations de cybersécurité.
Comment établir une relation de confiance avec le CA
Pour que le conseil d’administration endosse pleinement son rôle de partenaire de la sécurité et de quatrième rempart, la confiance de part et d’autre est de mise. Et pour les professionnels de la sécurité, cela passe par la compréhension des trois grandes priorités du conseil :
Protection de la marque. Veillez à protéger la marque d’entreprise en termes de propriété intellectuelle, de secrets commerciaux et d’image.
Rentabilité. Vérifiez la mise en place de contrôles de sécurité adéquats, garants de la rentabilité de l’organisation.
Gestion du risque. Envoyez un message fort à votre CA sur les menaces susceptibles d’impacter l’activité de l’entreprise.
Retour sur les investissements de sécurité (ROSI)
Le choix d’un langage simple et clair, compréhensible par tous, s’impose pour échanger avec votre conseil d’administration. Car, comme chacun sait, ses membres sont rarement des experts de la cybersécurité. Le niveau de technicité pose d’ailleurs souvent problème aux RSSI, quand il ne les dissuade pas tout bonnement de partager certains renseignements techniques, faute de savoir vulgariser certains concepts à l’intention de personnes dépourvues de bagage informatique.
À l’inverse, il m’arrive souvent de voir des responsables de la sécurité insister sur des aspects techniques, sans parvenir à les traduire en risques pour l’entreprise, ce qui serait pourtant beaucoup plus parlant. Le secret pour se faire entendre et comprendre de ses dirigeants réside dans un discours clair et percutant, mais jamais effrayant.
À l’inverse, il m’arrive souvent de voir des responsables de la sécurité insister sur des aspects techniques, sans parvenir à les traduire en risques pour l’entreprise, ce qui serait pourtant beaucoup plus parlant. Le secret pour se faire entendre et comprendre de ses dirigeants réside dans un discours clair et percutant, mais jamais effrayant.
Savoir communiquer les risques au CA : la méthode Unit 42
L’une des principales responsabilités du RSSI envers le conseil d’administration consiste à l’informer sur les risques d’une manière proactive et pertinente. C’est justement dans cette optique qu’Unit 42 de Palo Alto Networks a rédigé un document-cadre autour de plusieurs grands axes :
Inventaire. Sachant que l’on ne protège que ce que l’on connaît, il est essentiel de tenir à jour un inventaire complet des ressources IT.
Identification des ressources clés. Données individuelles, applications, infrastructure spécifique... recherchez et identifiez les ressources vitales de votre entreprise, à savoir celles qui sont essentielles à la poursuite de votre activité.
Évaluation des outils de sécurité. Votre organisation doit être en capacité de cerner l’efficacité des outils de sécurité utilisés pour protéger ses ressources clés.
Évaluation de la capacité de réponse aux incidents. En cas d’incident ciblant les ressources critiques de votre entreprise, mieux vaut être prêt à répondre efficacement.
Test et validation. Maîtrisez vos outils et dressez un bilan de vos capacités de réponse aux incidents. Pour cela, il est essentiel de tester et de valider leurs performances en cas d’attaque contre vos ressources critiques.
Points réguliers entre RSSI et CA sur la résilience de l’entreprise. La dernière étape de la méthode Unit 42 consiste à informer le CA du niveau de résilience de l’entreprise face aux risques en présence. L’objectif : livrer des résultats objectifs, exploitables et toujours traduits dans un langage métier.
Indicateurs et reporting : prenez les devants
Pour rendre compte de la situation et des progrès accomplis, les entreprises tendent à présenter principalement des indicateurs opérationnels de leur SOC : nombre d’attaques, d’alertes et d’incidents résolus ou de systèmes opérationnels à corriger. Seul bémol, ces indicateurs renseignent peu sur les cyberrisques pour l’entreprise. Techniquement parlant, ces chiffres devraient être considérés comme des « indicateurs retardés », reflétant des mesures réactives sur des évènements passés.
Les RSSI devraient au contraire présenter des indicateurs qui dénotent des initiatives de sécurité proactives. En ce sens, la gestion du risque de la supply chain devra par exemple être présentée en termes de nombre de partenaires ou ressources externes évalués sur les douze derniers mois. Cette mesure présente le double avantage de dénombrer les ressources à haut-risque de la supply chain et de démontrer la rigueur des procédures de due diligence de l’entreprise.
RSSI et conseil d’administration : les clés pour bien communiquer
Mettre en place une collaboration efficace avec votre conseil d’administration est un travail au long cours. Première étape clé : nouer le contact. Pour cela, faites connaissance avec ses membres pour bien cerner les risques métiers auxquels ils seront réceptifs. Une fois leurs priorités identifiées, vous aurez toutes les cartes en main pour démontrer à quel point vous veillez sur leurs intérêts en protégeant des actifs vitaux à leurs yeux.
Deuxième point, optez pour une approche factuelle, axée sur les chiffres. Ainsi dénués de toute subjectivité, vos propos auront plus de poids. Ne tombez pas pour autant dans l’excès inverse en les inondant de données. La solution ? Le storystelling. Offrez à vos dirigeants un récit clair avec une introduction, une intrigue, un climax et un dénouement. Ce n’est pas tant les chiffres qui comptent mais ce qu’ils racontent.
Enfin, gardez à l’esprit que votre CA fait partie de la solution, en tant que quatrième ligne de défense. D’où l’importance de participer activement à l’émergence d’une culture de « l’empowerment », où chaque dirigeant saura s’approprier les enjeux de sécurité pour en faire l’affaire de tous.