Réduction des cyber-risques : les questions des dirigeants aux RSSI
Ce document constitue le deuxième volet d’une série de quatre articles proposant aux RSSI des conseils sur leurs stratégies de communication proactives. Il s’agit notamment de leur montrer comment traduire des informations clés et expliquer leurs actions dans le langage de leur direction, pour leur permettre de se recentrer sur la gestion des incidents, des évènements et des menaces, et ainsi limiter les impacts organisationnels.
Quand survient un incident de cybersécurité, votre conseil d’administration cherche d’abord à s’assurer qu’un plan a été mis en place pour y répondre. Pour vos administrateurs, il est indispensable que l’entreprise soit parfaitement préparée à agir rapidement et efficacement afin de minimiser l’impact sur ses activités. Ainsi, lorsque vous les aurez informés de votre exposition aux cyber-risques, leur premier réflexe sera de s’enquérir de la teneur de votre plan pour y remédier. Vous devez donc vous préparer à répondre à une question essentielle : « « La situation est-elle sous contrôle, et avons-nous mis en œuvre les mesures appropriées pour y faire face ? ».
Les éventuelles questions subsidiaires à envisager :
- En quoi consistait notre plan de réponse ?
- Quelles ressources ont été attribuées aux efforts de remédiation, et dans quel ordre de priorité ?
- Que reste-t-il à faire ?
- Y a-t-il des choses que nous n’avions pas anticipées ? Quelles leçons retenir pour mieux nous préparer à l’avenir ?
Réduction des cyber-risques : la situation est-elle sous contrôle ?
Aux yeux de vos dirigeants et administrateurs, tout ce qui compte en cas d’incident, c’est de savoir que la situation est maîtrisée et que la menace a été neutralisée.
Et pour garantir la solidité de vos arguments face aux instances de direction (et, plus tard, au comité d’audit), un seul mot d’ordre : documentez ! Réponse aux incidents, gestion des correctifs, vulnérabilités zero-day… munissez-vous de toutes les pièces nécessaires afin de retracer les processus, les échanges et les mesures mis en place pour identifier et réduire les risques.
Ne faites pas dans la demi-mesure. Joignez aux plans demandés toutes les informations dont vous disposez concernant :
- Les processus de modification d’urgence exécutés
- Les parties prenantes impliquées dans la gestion de l’incident
- Les correctifs et les mesures de segmentation appliqués (quels systèmes ont été corrigés/segmentés en priorité, et de quelle manière)
- Les systèmes concernés et leur lien avec les processus critiques
- La stratification des processus
- Les modes de mise à jour et de déploiement des règles d’application
L’objectif est ici de rendre compte avec précision des mesures appliquées et de la chronologie des évènements pour prouver à la direction, aux comités d’audit et aux autorités de régulation que tous les principes de bonne gouvernance ont été appliqués à la lettre.
Le retour à la normale prend du temps – dites-le à vos dirigeants
Dans ces situations, votre direction peut se montrer quelque peu impatiente : « Avons-nous réglé le problème ? La situation est-elle sous contrôle ? L’incident est-il clos ? » Face à cette avalanche de questions, il est important d’expliquer à vos dirigeants que le retour à la normale est un processus au long cours exigeant patience et rigueur.
Cela signifie que vous devez prendre le temps de revenir ensemble sur ces évènements pour identifier les leçons à en tirer, ce que vous auriez pu faire différemment, les points à améliorer… le but étant de permettre à votre entreprise d’apprendre de ses erreurs et de se relever plus forte que jamais. C’est là que les documents mentionnés plus haut entrent en jeu. Ils se révèleront très utiles pour s’assurer qu’aucun détail n’a été omis ou négligé, car ce sont souvent ces petits riens qui font une grande différence dans les rouages de vos opérations.
Prenons l’exemple d’un organigramme vous indiquant qui appeler en cas d’urgence ou d’un rapport d’impact vous permettant de localiser en un clin d’œil vos ressources clés : ce type de document peut vous faire économiser énormément de temps en situation de crise. Quand les nuages se seront dissipés, tout vous apparaîtra plus clairement. Alors, prenez le temps du recul et expliquez au CA ce que vous avez mis en place pour mieux préparer votre entreprise aux incidents futurs.
En articulant vos réponses autour de la notion de parcours, de cheminement, vous rappelez à vos dirigeants qu’en matière de sécurité, il n’existe pas de solution parfaite ou immuable et que protéger son entreprise est un travail de tous les instants, qui vous rend chaque jour un peu plus efficace, un peu mieux préparé.Le jour J, l’orchestration doit être parfaite alors en plus de documenter scrupuleusement tout ce que vous faites, exercez-vous et répétez votre stratégie, encore et encore, jusqu’à ce que tout soit parfaitement rodé. Montrez à vos dirigeants que vous n’avez rien laissé au hasard et prouvez-leur que vous avez tout mis en œuvre pour qu’au prochain incident (car il y en aura forcément un), votre entreprise soit mieux armée face au risque.
Lisez le troisième volet de cette série qui aborde cette question clé : « Quelles procédures de due diligence et d’assurance sécurité avons-nous menées ? »
Et visionnez cette vidéo pour découvrir sous quel angle présenter votre plan de réduction des cyberrisques à votre CA
Nous contacter
Besoin de services de réponse aux incidents ? Faites appel à Unit 42.
Vous pensez avoir été impacté par la vulnérabilité Log4j ou victime d’une autre attaque majeure ? Contactez l’équipe Unit 42 pour échanger avec l’un de ses membres. L’équipe Unit 42 de réponse aux incidents est disponible 24h/7j/365j. Vous pouvez également demander une évaluation proactive pour mettre en place des mesures préventives.