[EXCLUSIF] Chaque jour ou presque apporte son lot de nouvelles attaques informatiques majeures et de fuites de données d’utilisateurs ou de clients. L’année 2017 a été marquée par la fuite massive d’Equifax, des attaques d’envergures (Petya, Bad Rabbit, etc.), de nombreuses attaques DDoS, et il fait peu de doute que 2018 soit différent.
Toutefois, malgré la répétition de ces risques et l’apparition constante de nouvelles menaces, nombre de professionnels de l’informatique ont encore du mal à faire passer leurs messages lorsqu’ils rencontrent les cadres dirigeants de leurs entreprises. Pourtant, si ce n’est pas toujours facile, aborder le sujet de la cybersécurité avec sa direction n’est pas une tâche impossible et il existe des moyens pour les « techniciens » de mieux faire comprendre à leurs dirigeants l’importance de la cybersécurité.
Pourquoi parler de cybersécurité est-il si compliqué ?
Les conversations sur la sécurité informatique peuvent être difficiles pour toutes les parties concernées. Les problèmes évoqués ci-après ne sont que quelques-unes des raisons pour lesquelles la communication dans ces conversations laisse beaucoup à désirer.
Inertie organisationnelle : Beaucoup trop de cadres sont à l’aise avec leur position en matière de cybersécurité et adoptent souvent le principe que « cela ne peut pas se produire ici » ou que « nous sommes trop petits pour être une cible ».
Manque de connaissances techniques : À moins qu’une organisation n’ait un Responsable de la Sécurité du Système d’information (RSSI), il est très peu probable qu’un des dirigeants ait une formation technique en cybersécurité.
Différentes « langues » : Les conversations sur la cybersécurité sont souvent difficiles car fondamentalement, les deux groupes ne parlent pas la même langue en termes de risques. Les informaticiens voient le risque sous l’angle des menaces qui pèsent sur leurs actifs et leur réseau, tandis que les dirigeants voient généralement le risque sous l’angle des coûts financiers pour l’entreprise.
Mettre l’accent sur la conformité : Les dirigeants confondent souvent la conformité informatique et la sécurité informatique, alors que la conformité devrait être considérée comme la norme minimale. Tout comme le fait de réussir l’examen du barreau ne fait pas de quelqu’un un bon avocat, le respect des règlements tels que PCI ou HIPAA ne signifie pas qu’une organisation est protégée contre les cyber-menaces.
Pour convaincre les cadres de la nécessité du changement, les professionnels des technologies de l’information devraient adopter une stratégie qui aborde chacun de ces enjeux.
Comment les professionnels de l’informatique peuvent relever ces défis ?
Afin de faire comprendre aux dirigeants l’importance d’investir dans des outils et services de cybersécurité, les professionnels de l’informatique ont quelques solutions.
Mettre l’accent sur le retour sur investissement : Plutôt que de se demander combien la cybersécurité coûte à leur organisation, les cadres supérieurs devraient se demander si les outils sont un investissement judicieux. Les coûts d’une violation de données ou d’une infection par un logiciel malveillant ne se limitent pas seulement aux coûts immédiats d’intervention et de recouvrement. Ils concernent également l’impact que cela aura à long terme sur la réputation d’une entreprise ainsi que les poursuites judiciaires et les indemnisations financières qui peuvent en résulter.
Recruter le PDG : Sans un allié de poids parmi les cadres, il sera beaucoup plus difficile de convaincre les dirigeants de la nécessité de nouvelles solutions de sécurité informatique. Les figures clés telles que le PDG et le Directeur Financier sont les plus importants à convaincre. Cela signifie que les professionnels de l’informatique devront faire valoir leurs arguments dans le langage des risques commerciaux et financiers : la perte de revenus, la baisse de productivité, les dommages causés aux marques et les poursuites qui peuvent résulter d’une cyberattaque.
Faites-en une affaire personnelle : Les meilleures méthodes de persuasion sont celles qui frappent le plus près de chez soi. Les cyberattaques massives des dernières années, comme Equifax, Target ou Home Depot, sont effrayantes mais quelque peu abstraites. Il est plus effrayant et efficace de montrer concrètement comment un défaut actuel des procédures ou moyen de sécurité de l’entreprise peut mettre en danger la carrière des employés ou des renseignements personnels de clients.
Quelques réflexions
De nombreux professionnels de l’informatique peinent à faire passer leur message lors de conversations avec des dirigeants d’entreprises non techniques, mais l’occurrence croissante des cyberattaques et des violations de données a rendu nécessaire l’amélioration de ces conversations. Le facteur clé pour les professionnels de l’informatique désireux de provoquer des changements pour le mieux dans leur organisation viendra de leur capacité à traduire des concepts techniques dans le langage du risque de l’’entreprise. En aidant les dirigeants à comprendre toutes les conséquences d’une attaque potentielle, professionnels de l’informatique peuvent contribuer à faire disparaître les préjugés et ainsi faire entendre leur message.