3min. read

Si la perspective de rendre régulièrement compte de la situation au conseil d’administration rebute bien des responsables de la sécurité des systèmes d’information (RSSI), cet exercice n’en reste pas moins absolument nécessaire. Il est logique, après tout, que les professionnels de la sécurité soient tenus d’informer les personnes siégeant à la tête du modèle de gouvernance de l’entreprise. Relater des incidents de sécurité comme la vulnérabilité Log4j, accéder aux demandes de mise en conformité réglementaire, répondre aux inquiétudes concernant une attaque dont a été victime un acteur du même secteur... Toutes ces activités font partie des missions du RSSI. Toutefois, elles ne doivent pas être leurs seuls moments d’échange avec le conseil d’administration.

Bien au contraire, tout professionnel de la sécurité devrait s’entretenir régulièrement avec les dirigeants de son entreprise dans un but informatif et pédagogique, mais aussi dans un souci de confiance mutuelle. Ce rapprochement contribue in fine au renforcement de la posture de sécurité, ce dont nous avons tous à gagner.

Conseil d’administration : la quatrième ligne de défense

Considéré souvent à tort comme un énième groupe à qui les responsables sécurité doivent rendre des comptes, le conseil d’administration forme à lui seul une catégorie à part.

En tant qu’acteur de gouvernance, il peut et devrait en effet être envisagé comme la quatrième ligne de défense de la sécurité d’entreprise. La première ligne désigne les opérations et fonctions de sécurité quotidiennes, assurées par les équipes opérationnelles affectées au tri des incidents. La deuxième ligne renvoie à la fonction de gouvernance cyber, tandis que la fonction d’audit et de reporting internes constitue la troisième. Dans ce schéma, le conseil d’administration représenterait donc la quatrième. En conséquence, il est primordial que ces quatre lignes de défense communiquent efficacement pour combler les failles et ainsi contribuer à la cohésion des opérations de cybersécurité.

Comment établir une relation de confiance avec le CA

Pour que le conseil d’administration endosse pleinement son rôle de partenaire de la sécurité et de quatrième rempart, la confiance de part et d’autre est de mise. Et pour les professionnels de la sécurité, cela passe par la compréhension des trois grandes priorités du conseil :

Protection de la marque. Veillez à protéger la marque d’entreprise en termes de propriété intellectuelle, de secrets commerciaux et d’image.

Rentabilité. Vérifiez la mise en place de contrôles de sécurité adéquats, garants de la rentabilité de l’organisation.

Gestion du risque. Envoyez un message fort à votre CA sur les menaces susceptibles d’impacter l’activité de l’entreprise.

Retour sur les investissements de sécurité (ROSI)

Le choix d’un langage simple et clair, compréhensible par tous, s’impose pour échanger avec votre conseil d’administration. Car, comme chacun sait, ses membres sont rarement des experts de la cybersécurité. Le niveau de technicité pose d’ailleurs souvent problème aux RSSI, quand il ne les dissuade pas tout bonnement de partager certains renseignements techniques, faute de savoir vulgariser certains concepts à l’intention de personnes dépourvues de bagage informatique.

À l’inverse, il m’arrive souvent de voir des responsables de la sécurité insister sur des aspects techniques, sans parvenir à les traduire en risques pour l’entreprise, ce qui serait