Un article proposé par Docaposte dans le cadre de « What’s Next, CIO ? », l’observatoire DSI d’Alliancy. Tout au long de l’année, les partenaires de l’observatoire s’engagent à faire progresser l’écosystème du numérique par le partage de pratiques et la confrontation d’avis. Ils se mettent au service de la communauté des CIO pour leur permettre d’anticiper et d’incarner le changement dans leurs organisations.

Sous la pression combinée des régulateurs et des attaquants, la cybersécurité prend désormais une place majeure parmi les risques encourus par les entreprises. Dans ce contexte, la question du bon traitement de ce sujet, en apparence très technique, par les instances dirigeantes, le Comex et le conseil d’administration, se pose avec force et, avec elle, celle du positionnement du CIO.

Plus personne n’ignore que les questions de cybersécurité sont devenues un enjeu absolument majeur, notamment pour les CIO, dans l’ensemble des entreprises, quelle que soit leur taille. Les menaces se sont développées à une vitesse vertigineuse ces dix dernières années et elles sont aujourd’hui malheureusement bien réelles, qu’il s’agisse de cybercriminalité, d’espionnage ou, pire, de mise hors service de systèmes physiques.

Comme pour tout danger clé, sa prise en compte est de la responsabilité des instances dirigeantes de l’entreprise, au premier rang desquelles figure bien évidemment le Comex. Encore trop souvent, le sujet, manifestement générateur de malaise, est évité ou mal traité. Ceci s’explique assez simplement par la combinaison de deux facteurs : d’un côté, il s’agit d’un problème en apparence très technique, lié à l’IT de l’entreprise, complexe et difficile d’accès ; d’un autre côté, les membres du Comex ont le sentiment que, n’étant pas experts en la matière, il ne leur revient pas de le traiter. Les choix et l’arbitrage relatifs au cyber relèvent cependant bien de ce niveau de décision. En effet, au vu des risques considérables pour l’entreprise – au niveau financier, image, opérationnel…, tout comme pour la sécurité des personnes et des biens –, le cyber doit dorénavant être traité au bon niveau et intégré, à l’image des autres risques, dans une stratégie globale à la hauteur des enjeux.

Invoquer la responsabilité du Comex ne doit cependant pas être perçu comme une critique envers les spécialistes qui portent le sujet, souvent avec compétence et engagement, qu’ils s’agissent de chief information security officers (CISO), de responsables opérationnels dans les security operations centers (SOC) ou d’experts métiers. Bien au contraire, leur rôle est majeur, indispensable, mais ils ne peuvent pas, à eux seuls, porter un tel sujet et notamment réaliser les arbitrages nécessaires. Dans le cas inverse, il y a fort à parier que les plus engagés serviront tout au mieux de boucs émissaires.

Le CIO a évidemment un rôle absolument central à jouer, le substrat du risque cyber étant l’IT de l’entreprise. Ses choix techniques et opérationnels impactent directement la sécurité de l’ensemble des équipes, et sa responsabilité est par conséquent directe. Par ailleurs, la répartition des rôles est par nature complexe entre le CIO, le CISO, le directeur juridique, le(s) responsable(s) des risques, de la sécurité, de la sûreté…

La question se pose alors de savoir qui doit porter le risque cyber en comité exécutif. Ma conviction est simple : un membre du Comex doit se sentir parfaitement concerné par le sujet, le pousser, le défendre et embarquer l’ensemble du comité jusqu’au CEO. Dans le cas contraire, si personne n’est impliqué, le problème sera forcément insuffisamment pris en compte. Et si ce dernier est porté de manière diffuse par plusieurs, l’inefficacité et la dilution sont à craindre. Dans mes expériences passées, j’ai observé beaucoup d’immaturité, mais également de vrais succès dans ce domaine, avec parfois des situations surprenantes où des membres du Comex que rien, a priori, ne désignait naturellement pour un tel thème technique, à l’image du DAF, étaient particulièrement performants.

Demander au CIO, pour peu qu’il participe au Comex, de porter ce sujet peut s’avérer contre-productif. En effet, si le CIO est, par nature, l’un des cadres qui doit se sentir le plus concerné par les thématiques cyber, les arbitrages financiers permanents à mener pourraient tourner au cauchemar. Il serait alors en proie à une schizophrénie permanente : entre le développement de nouvelles fonctionnalités, la recherche de toujours plus d’efficacité pour un coût toujours plus maîtrisé, et la prise en compte au juste niveau de la cybersécurité. Cette dernière, même si elle est considérée comme indispensable, est une réelle source de coûts et de délais supplémentaires, avec un retour sur investissement difficile à calculer. C’est justement pour éviter ces conflits d’intérêts que l’on recommande, en général, de ne pas subordonner le CISO au CIO.

Les réglementations cyber, qui continuent à se développer et à toucher davantage d’acteurs, à l’image de la directive NIS 2 et de DORA, vont nécessiter toujours plus de rigueur dans la prise en compte de ce point par les Comex. C’est d’ailleurs une des premières règles imposées, une gouvernance efficace étant un prérequis. La responsabilité des décideurs va être également engagée de manière croissante. Les cyberattaques ayant un impact majeur, les décideurs ne seront plus systématiquement considérés comme des victimes, mais devront, au contraire, répondre de leur responsabilité devant leurs collaborateurs, leurs actionnaires, leurs clients et leurs partenaires, si ce n’est devant la justice. Ce phénomène commence à être observé de plus en plus systématiquement aux États-Unis et ne manquera pas de se développer en Europe.

Dans une logique similaire, les conseils d’administration vont devoir se pencher sur ce sujet de manière plus sérieuse. On ne peut pas à la fois dire que le cyber fait dorénavant partie du top trois des risques qui pèsent sur les entreprises et, en pratique, juger qu’il ne s’agit que de considérations techniques qui n’ont pas leur place dans les conseils. Plus encore que dans les Comex, ce thème va être difficile à aborder du fait de sa technicité perçue. Mais le cyber, ce n’est pas que de l’expertise technique ; bien au contraire, il s’agit aujourd’hui de gestion des risques, de géopolitique, de décision stratégique à prendre au plus haut niveau. La sensibilisation systématique des décideurs, leur formation, leur responsabilisation va être, à n’en pas douter, un des grands enjeux de la décennie à venir aux côtés des questions de développement durable et de RSE, mais également de prise en compte des enjeux de souveraineté.

Et vous, comment vous organisez-vous ? Quel est votre retour d’expérience dans ce domaine ? Le sujet est-il traité au juste niveau dans votre organisation ou bien encore rangé dans la mauvaise conscience (ou l’inconscience) collective des instances dirigeantes ?

Un article proposé par Guillaume Poupard, directeur général adjoint de Docaposte.