L’affirmation d’une culture de la sécurité numérique au sein des organisations va de pair avec la montée en puissance d’une culture du changement et de la transversalité chez les responsables de la sécurité des systèmes d’information. C’est l’un des messages portés par Olivier Ligneul, CISO du groupe EDF, récemment nommé vice-président du CESIN, le Club des experts de la sécurité de l’information et du numérique, qui revient sur l’évolution de la gouvernance des entreprises.
Alliancy, le mag. A quel point la transformation numérique des entreprises impacte-t-elle la façon dont elles gèrent aujourd’hui le sujet de la cybersécurité ?
Olivier Ligneul. Ce sont deux mutations initiées en parallèle. D’un côté, la gouvernance globale de l’entreprise est de plus en plus remise en question par de nombreux facteurs, parmi lesquels de nouvelles formes de concurrence et des changements majeurs de business models, mais également de nouveaux modes de travail, de nouveaux outils, des rapports hiérarchiques différents, etc. De l’autre, la fonction « cybersécurité » change également en devenant toujours plus transversale. Elle adopte une vision très protéiforme : pour trouver sa place dans la nouvelle gouvernance de l’entreprise, elle cherche le bon équilibre pour ne pas être un frein, sans tomber non plus dans la superficialité.
Concrètement, qu’est-ce que cela implique ?
L’un des plus grands changements est que cette évolution oblige les « métiers » de l’entreprise à intégrer directement en leur sein le sujet sécurité. Nous voyons les créations de poste de RSSI se multiplier ces derniers mois et ceux-ci ne sont plus mis à l’écart du reste de l’activité de l’entreprise sous prétexte de la technicité. Le lien est au contraire de plus en plus fort.
Bien sûr, il n’y a pas de recette miracle en matière de gouvernance, chaque entreprise affine la position du curseur sécurité au sein de ses métiers… mais deux enjeux se croisent systématiquement. D’abord, la nécessité d’avoir un RSSI qui développe une vision homogène et globale du sujet cyber pour l’entreprise. Plus que jamais, il est nécessaire de se doter d’un référent sur des enjeux de sécurité par nature transversaux. Les responsables de la sécurité ne peuvent plus être « localisés » sur un sujet particulier : c’est ce qui fait la joie des attaquants. On l’a bien vu lors de l’attaque sur l’Ukraine l’an dernier, si le système électrique du pays a été touché, à travers une agression sur le réseau industriel, il y a eu en même temps une attaque d’ampleur sur le secteur tertiaire, afin d’empêcher les clients d’appeler les entreprises… Développer une vision de synthèse est devenu primordial. A l’opposé, on ne peut cependant plus se passer de responsabilités décentralisées, en local. Autrement dit, le RSSI devient un métier comme les autres ! En effet, il ne viendrait à l’idée de personne dans le cadre de la gouvernance d’une entreprise de prétendre qu’un directeur financier peut se passer de comptables, et vice-versa.
Cette nécessaire intégration du métier de la cybersécurité à tous les niveaux est-elle aujourd’hui bien prise en compte par les entreprises ?
Une fois que l’on a dressé ce portrait idéal, les interrogations restent évidemment nombreuses. Encore une fois, il n’y a pas de modèle « type » que l’on pourrait copier-coller. Par contre, nous avons assisté ces dernières années à des prises de conscience parallèles, qui se répondent.
Les RSSI ont su prendre de plus en plus de recul. Ils ont conscience qu’ils ne peuvent plus se contenter d’être des ultra-spécialistes qui vont gérer les règles du pare-feu de l’entreprise. Ils savent qu’ils doivent se mêler au reste de l’organisation, avoir une démarche proactive et penser la sécurité comme un élément à part entière de la stratégie business. Et cet état d’esprit fonctionne : en 2016, le RSSI n’est plus celui qui déjeune en solitaire à la cantine !
Du côté des dirigeants, il y a clairement eu une prise de conscience généralisée de l’importance de la menace et de la nécessité à prendre le sujet en main. C’est la première étape pour voir ensuite les comportements évoluer et le sujet de la cybersécurité intégrer à part entière la nouvelle gouvernance de l’entreprise. En évoluant de concert, ces deux mondes ont commencé à échanger de plus en plus limpidement. Je pense qu’aujourd’hui, les RSSI parlent beaucoup plus aux directions générales qu’il y a de cela quelques mois. C’est un changement majeur pour les métiers de la cybersécurité, qui les rapprochent également d’autres acteurs aux responsabilités transversales comme le directeur des risques ou celui de la sécurité (physique, ndlr).
Ces évolutions n’empêchent pas beaucoup de dirigeants d’avoir l’impression que le sujet de la cybersécurité est extraordinairement large et complexe… et que prendre les « bonnes » décisions est un véritable défi. Comment peuvent-ils s’assurer d’aller dans le bon sens ?
Il est certain que le champ des possibles est énorme. Le nombre de scénarii envisageables pour une cyberattaque ne se situe tout simplement pas dans un environnement « fini ». Intellectuellement, il est donc très difficile de prendre la mesure de ce qui est en train de se passer, de ce que cela représente pour son entreprise, et surtout, de ce que l’on peut faire pour assurer au mieux sa sécurité. C’est d’autant plus difficile qu’en face, les attaquants sont connus pour savoir s’adapter en permanence. Les variables sont donc nombreuses et on ne les maîtrise pas. C’est une zone d’inconfort absolue : le risque fait peur, la question de la confiance que l’on peut accorder aux très nombreux « sachants » – internes ou externes – se pose clairement… et l’efficacité des moyens humains et financiers que l’on consacre à la sécurité n’est pas toujours visible de prime abord.
Mais il en va de même pour de nombreux sujets, il ne faut pas en faire un blocage psychologique. Par nature, le métier du dirigeant est de piloter l’entreprise pour la faire croître, pour respecter ses valeurs, en faisant des choix qui ne sont pas toujours facile, le tout dans un environnement incertain. L’important est donc de tracer le chemin entre la réalité actuelle du niveau de sécurité de son entreprise et un niveau cible idéal. Entre les deux, c’est une progression maîtrisée qu’il faut lancer.
Comment ?
L’un des principes qui pourra le plus venir en aide à un dirigeant est – cela peut paraître paradoxal – sa capacité à lâcher-prise. Cela revient à prendre en compte que l’on ne pourra jamais tout protéger parfaitement. Il faut donc choisir et souvent, renoncer. C’est là que la relation avec le RSSI révèle toute son importance : c’est le rôle de ce dernier de mettre en lumière ce qui est le niveau de protection minimum – pour tous – sous lequel l’entreprise ne peut pas descendre. A partir de cet essentiel, il sera plus simple de définir quels efforts et quels moyens on pourra consacrer aux sujets que les dirigeants jugeront prioritaires.
Qu’en est-il de l’influence du dirigeant sur l’émergence d’une « culture de la cybersécurité » au sein de son entreprise ?
La priorité est d’éviter une approche de technicien, de prescripteur de la « bonne culture sécurité », qui s’avère très dommageable. A l’inverse, il y a des fondamentaux à rappeler, encore et encore. Le premier d’entre eux est l’exemplarité. C’est un point tout à fait important pour le dirigeant. Il s’agit là de son comportement personnel, mais également, plus largement du fait que l’entreprise applique des règles uniformes pour tous et à tous les niveaux de la structure.
Mais la montée en puissance d’une culture de la sécurité au sein de l’entreprise, et notamment au sein du top management, ne se fera seulement si on assiste en parallèle à l’affirmation d’une culture du changement du côté des acteurs cyber, et du RSSI au premier rang d’entre eux. Cette culture du changement doit s’emparer des nombreux nouveaux usages amenés par la transformation numérique, de la complexité du rapport entre vie privée et vie professionnelle, des enjeux de liberté personnelle des collaborateurs, mais également de productivité… Internet l’a prouvé depuis 20 ans, les gains apportés par ces nouveaux usages sont supérieurs aux craintes que l’on peut avoir… à condition d’être prêt à avoir une vision de la sécurité dynamique, qui ne reste pas figée dans ses anciens crédos. Entre contrôle centralisé et responsabilisation totale des individus, il existe un équilibre à acquérir.
Prenons l’image du Président des Etats-Unis : après des siècles d’ajustement, celui-ci n’a jamais été autant protégé qu’aujourd’hui et pourtant aucun président n’a jamais été autant communicant. Quand il se déplace, il est dans un véhicule avec un tel niveau de blindage, qu’il est complètement coupé du monde autour de lui… tout en restant ultra-connecté avec un niveau de services et de capacité à agir sans concession. Au-delà du caractère exceptionnel de ce que représente son rôle, c’est bien cette philosophie-là qui doit présider à une gouvernance moderne de la sécurité.
Cybersécurité, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide, les témoignages d’experts qui reviennent sur les principaux axes d’amélioration des entreprises pour les mois à venir. |