Pourquoi les directeurs généraux refusent-ils de parler (vraiment) de cybersécurité ? Pourquoi leur implication est-elle souvent limitée aux discussions budgétaires, ou au temps de la crise ? Notre chroniqueuse Anne Doré revient sur le rôle clé que jouent les DG dans la sécurité de l’entreprise.
« Ah vous vous voulez parler cybersécurité ? Adressez-vous à mon DSI ou au CISO ? Ce sont eux qui s’en occupent ! ». Combien de fois cette phrase a-t-elle été prononcée par des dirigeants d’entreprises ? En particulier, telle est la réponse d’une très grande majorité de directeurs généraux ! Pourquoi ?
A lire aussi : DSI et Business : cum numericus
Pourquoi les directeurs généraux refusent-ils de parler de cybersécurité ? Pourquoi leur implication est-elle souvent limitée aux discussions budgétaires, ou au temps de la crise ?
La croissance exponentielle des cyberattaques a interpellé ou voir même mis à contribution nombre de dirigeants. Pour autant, rare sont ceux qui ont compris le besoin urgent d’endosser un nouveau rôle, celui de leader et rôle modèle cybersécurité ! On ne le répètera jamais assez, le risque cyber est un risque métier pouvant lourdement impacter le fonctionnement d’une entreprise, son cours boursier, ses finances, sa réputation et parfois même sa pérennité.
La cybersécurité ne peut donc pas se résumer à une problématique informatique. Elle exige une approche 360° que seul le Directeur général possède et peut promouvoir. Il appartient de mettre en œuvre tous les moyens nécessaires et requis (humains, financiers et technologiques, légaux et organisationnels) pour protéger l’entreprise de ce risque
Le directeur général n’a donc plus le choix ! Il doit travailler en étroite collaboration avec le CISO, devenir ‘sponsor’ et ‘rôle modèle’ de la cybersécurité en s’appuyant sur les leviers d’actions déjà en sa possession : la gouvernance, le pilotage du risque, le leadership par l’exemple.
Gouverner et gérer en étroite collaboration avec le CISO
Au même titre que le directeur général collabore étroitement avec tous les dirigeants de l’entreprise au gré des enjeux et stratégie métier, organisationnelle et financière, il doit établir une vraie relation de travail avec le CISO qui idéalement lui sera rattaché.
Cette collaboration ne peut se limiter à des discussions budgétaires, à la revue de quelques indicateurs clés (ex. nombre et nature et gravité des incidents,). CISO et directeur général doivent sortir de leur zone de confort pour développer une vision commune de la politique cyber et la promouvoir en culture d’entreprise.
Il est important que le directeur général comprenne les défis quotidiens du CISO (rétention et recrutement des collaborateurs, gestion des incidents, formation et sensibilisation des collaborateurs…). Il doit aussi comprendre l’origine et la probabilité des risques.
La cybersécurité est transverse. Elle concerne l’ensemble des collaborateurs et s’immisce dans toutes les entités, et départements de l’entreprise. Le directeur général dispose de l’autorité et des moyens requis pour supporter cette transformation structurante pour la sécurité et la pérennité de l’entreprise. Il en porte aussi la responsabilité. Des dirigeants de grands groupes (Sony Pictures, Equifax…) ont été amenés à démissionner après des incidents cyber graves.
Cette collaboration et gouvernance établies, le second challenge du directeur général est de convertir le risque cyber en risque métier ‘palpable’ et compréhensible.
Comprendre le risque et en faire un risque métier
Le risque cyber est un risque métier. Il est évidemment tangible et plus facile à comprendre lorsqu’il se concrétise en potentiel arrêt de la production, du site internet client ou un risque de défaillance financière. Si le CISO peine à parler un langage métier, il appartient au directeur général de l’aider. A contrario, le directeur général doit comprendre la nature et l’origine de la menace et veiller à ce que l’analyse de risque soit régulièrement réévaluée.
Il doit sensibiliser et impliquer les membres du comité de direction. En tant que stratège et leader, le directeur général doit exiger que ce nouveau risque métier soit systématiquement intégré dans la définition de la stratégie, la gestion quotidienne des affaires et les projets d’évolution et transformation.
A ce titre, la stratégie de l’entreprise (fusion, acquisition, nouveaux produits) est une information qu’il convient de protéger ! Et là encore le directeur général a un rôle important à jouer.
Montrer l’exemple et adopter de bonnes pratiques
Le directeur général est le seul par sa conduite et son autorité à pouvoir exiger des membres du comité de direction et l’ensemble des collaborateurs, le respect ‘stricto sensu’ de la Politique de Sécurité des Systèmes d’Information (PSSI) de la société. Personne ne doit y déroger : toute dérogation constitue une faille de sécurité potentielle. L’usage d’emails personnels à des fins professionnelles ou d’objets connectés au réseau non validés par l’équipe CISO est strictement interdit.
Les directeurs Généraux doivent en être conscients. Les informations qu’ils possèdent en font une cible de choix ! Les déplacements à l’étranger, dans certains pays préalablement définis, doivent être anticipés afin de limiter l’exposition des données sensibles ou confidentielles contenues sur leurs téléphones ou ordinateurs.
Pour ce qui est des visio-conférences ou réunions téléphoniques, le directeur général en tant que garant du secret d’affaires, doit refuser ou stopper des discussions confidentielles n’ayant pas lieu via des solutions préalablement validée par le CISO.
Nouvelle époque, nouvelles règles de bonnes conduites ! Tels sont les enjeux de l’ère numérique, de la confidentialité et la protection d’un savoir-faire qui requiert un ‘nouveau savoir être’. Le directeur général doit donc être un leader et un ‘rôle modèle’ de la cybersécurité. Pour autant, il serait erroné de penser que ce nouveau rôle sera difficile à apprivoiser ou maitriser. Il n’y a rien qu’il ne fasse déjà pour d’autres sujets, d’autres enjeux de l’organisation.
La vraie question n’est donc pas de savoir comment le directeur général doit agir mais quand va-t-il intégrer la cybersécurité dans le top 3 permanent de ces priorités ? La réponse est simple : le plus vite sera le mieux !