Cyber-risques : s’organiser pour mieux se prémunir

Le numérique devenu poumon du business, l’exposition des entreprises à des risques informatiques va croissant. Or, si les sociétés s’interrogent sur la meilleure façon de piloter leur transformation numérique, celles-ci restent encore nombreuses à exclure de cette réflexion la nouvelle place de la sécurité numérique.

Alors que l’entreprise se transforme à tous les étages, quelle place est donnée à la sécurité numérique ? De nombreuses organisations ne se posent pas encore la question… Une fatalité ? « En tant que Chief Information Security Officer (Ciso), nous avons une carte maîtresse à jouer grâce à l’adoption massive du numérique dans nos entreprises », estime, au contraire, Arnaud Tanguy, Ciso de la société de gestion d’actifs AXA Investment Managers (AXA IM). Selon lui, l’enjeu revient notamment à réconcilier sécurité et facilitateur business. Une ambition qui peut ressembler à une gageure, à moins qu’une nouvelle gouvernance de la sécurité change en profondeur la perception et la place de celle-ci dans les organisations.

Placer la gouvernance au bon niveau

Historiquement, la sécurité globale de nombreuses entreprises s’est constituée en briques organisationnelles qui ont séparé sûreté (sécurité physique) et SSI (sécurité du système d’information). D’après une enquête menée en janvier 2016* par le Club des experts de la sécurité de l’information et du numérique (Cesin), l’entité en charge du pilotage de la protection contre les cyberrisques reste en France la DSI dans 73 % des cas (91 % pour les acteurs industriels), contre 14 % seulement pour la direction des risques et 12 % pour la direction de la sûreté.

Lors d’une table ronde sur la gouvernance de la sécurité numérique pendant les Assises de la Sécurité à Monacoen octobre dernier, Thierry Auger, deputy CIO/CSO du groupe Lagardère relevait que cette séparation est souvent le reliquat de choix successifs : elle se retrouve donc bousculée en cas d’incidents majeurs. « A trop séparer, on crée de l’inefficacité. Ce dont les entreprises ont besoin, c’est d’une osmose au niveau de leur perception et de leur gestion du risque global », notait-il. Or, cette cartographie du risque global est difficile à obtenir si la SSI reste coincée sous le plafond de verre de la DSI… alors que la sûreté joue sa partition au niveau du comité de direction.

Le sujet de la symbiose de la sécurité numérique avec l’ensemble de la sécurité de l’entreprise est pourtant crucial. Le monde de la sûreté s’appuie lui-même chaque jour un peu plus sur le numérique pour faire son travail, améliorer son efficience et ses communications… comme tout le reste des activités d’ailleurs. Ces sujets sont ainsi devenus inextricablement liés. Les cellules de crise, transverses et agiles, qui se forment en cas de problème majeur sont autant la consécration que l’aveu de ce
besoin de réconciliation.

A leur niveau, les Ciso/RSSI ont bien en vue cet ensemble d’évolutions. Selon le baromètre du Cesin, « placer la gouvernance de la cybersécurité au bon niveau » est leur priorité n° 1 pour l’avenir, aux côtés des enjeux humains de formation des collaborateurs ; bien plus que le sujet technique et les outils eux-mêmes. Un paradoxe car ils restent encore souvent perçus dans les organisations sous une étiquette d’experts techniques par les dirigeants et les métiers…

« C’est une question de philosophie de la sécurité à transmettre largement, autant que d’organigramme », juge Philippe Gauthier, responsable de la relation métier- SSI du groupe Crédit agricole. Son poste a été créé il y a deux ans par Gil Delille, Ciso du groupe, qui jugeait urgent de mieux animer les échanges entre les RSSI et les nombreux interlocuteurs métiers. Cette décision s’est faite en parallèle de la mise en place d’une nouvelle gouvernance de la sécurité des systèmes d’information du groupe, pour éviter que les RSSI ne soient trop « seuls » et qu’ils se rabattent sur des missions de contrôle, au détriment d’une approche plus globale de la sécurité.

« Le but était de rattacher chaque RSSI à un membre du Comex, qui supervise par ailleurs le DSI. De cette façon, le sujet sécurité a été systématisé à tous les niveaux de l’organisation », décrit Philippe Gautier. Ce travail de transparence paraît constitutif de la nouvelle stature qu’adoptent les responsables de la sécurité, notamment dans les grandes organisations, décentralisées ou dotées de nombreuses filiales.

Celles-ci les forcent, en effet, à trouver un équilibre entre une vision stratégique de la transformation numérique globale et des réalités de terrain auxquelles il faut répondre immédiatement. « Désormais, notre sujet est d’être capable de toucher nos directions autour de la notion de risques transverses et des nouveaux aspects de gouvernance nécessaire pour y faire face », poursuit Benoît Fuzeau, responsable sécurité au sein de la Direction Risques/Conformité de Casden Banque Populaire, la branche de la banque consacrée à la fonction publique. Il revendique à ce titre son parcours atypique, issu d’une école de commerce et très proche des enjeux métiers. « Tout le monde cherche sa place dans notre fonction, qui est encore assez jeune… On est à la croisée des chemins alors que les entreprises veulent devenir plus agiles et réactives. On a fait porter les risques numériques très souvent à la DSI – j’y ai été moi-même rattaché à une époque – là où aujourd’hui notre rôle de facilitateur pour le reste des activités de l’entreprise demande plus d’indépendance», soutient-il.

Une pression réglementaire

Il est donc nécessaire à ses yeux de marketer le thème de la confiance, plus fédérateur, au sein des organisations. Ce détachement des seuls sujets de la sécurité technique et informatique, au profit d’une vision du risque globale explique également le poids grandissant laissé à d’autres acteurs, comme les risk managers. Quand ils ne sont pas réduits au rôle de simples acheteurs d’assurance, ils se retrouvent à l’interface des nombreux questionnements qui agitent le monde des Ciso/RSSI, tout en ayant une étiquette juridique et financière qui les exempte en partie des problématiques de leurs lointains cousins. Selon les organisations ils pourront donc se retrouver en concurrence, ou au contraire être les plus proches alliés, pour imposer une vision nouvelle du sujet au plus haut niveau. La pression réglementaire aidera peut-être les entreprises à clarifier la donne. D’ici à mai 2018 notamment, et l’entrée en vigueur du règlement général sur la protection des données (RGPD), les entreprises auront tout intérêt à avoir multiplié les passerelles et échanges entre leurs entités en charge des sujets juridiques, de sécurité, des risques, mais aussi administratifs ou métiers. A défaut, elles pourraient se voir, par exemple, imposer des amendes allant de 2 à 4 % de leur chiffre d’affaires mondial… Une motivation pour se réorganiser ? 

*Une nouvelle édition du baromètre a été dévoilée lors du Forum international de la Cybersécurité (FIC)
2017 à Lille, fin janvier.

Cet article est extrait du magazine Alliancy n°16 à commander sur le site.

Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. > Je télécharge