Les chefs d’entreprise assistent, tout comme leurs collaborateurs, à la médiatisation croissante des enjeux de cybersécurité. Jean-François Louâpre, vice-président du CESIN, le Club des experts de la sécurité de l’information et du numérique, explique pourquoi les dirigeants doivent travailler main dans la main avec leurs responsables de la sécurité de l’information.
Attaque sur TV5 Monde ou plus récemment sur l’Office of Personnel Management de la Maison Blanche. Les grands médias généralistes français évoquent de plus en plus les enjeux de cybersécurité. Est-ce une bonne nouvelle ?
Je remonterais même à l’exemple de la cyberattaque sur Bercy, en 2011. C’était la première fois que la cybersécurité faisait une apparition au journal télévisé de 20h avec Claire Chazal ! Cette médiatisation concourt clairement à une prise de conscience généralisée de la population et donc des dirigeants d’entreprise. Avec deux messages clés : la sécurité n’est pas qu’une affaire de spécialiste et une cyberattaque peut arriver à tout le monde. Si l’on reprend tous les grands exemples rendus public, on retrouve ainsi des médias, des ministères, des grands groupes de distribution, des acteurs industriels ou encore des entreprises d’audiovisuel. Tous les secteurs sont concernés. Pendant longtemps, le top management des entreprises a adopté une posture qui consistait à se dire : ce genre de problèmes n’arrive qu’aux autres… jusqu’à ce qu’il soit trop tard. C’est en train de changer. De plus en plus de dirigeants prennent désormais conscience de la dépendance de leurs activités à leur système d’information et dans ce cas, la cybersécurité peut devenir un sujet de Comex.
Qu’est-ce qui a changé pour les responsables de la sécurité des systèmes d’information (RSSI) dans les entreprises ces dernières années ?
Concernant leur position dans l’entreprise, il y a finalement assez peu de changement. Environ 60% sont toujours rattachés à la DSI. Les autres se répartissent entre la direction générale (notamment pour les entreprises de taille modeste), la direction de la sûreté ou celle des risques (pour les plus grandes) sans qu’il soit possible de définir une réelle tendance. Petit à petit, le RSSI est moins vu comme un simple expert technique et plus comme un acteur à part entière de la gestion opérationnelle du risque. Une réputation qu’il acquiert avec plus de facilité quand il évolue hors de la DSI. Depuis 20 ans, les RSSI sont de plus en plus présents dans les entreprises – en commençant par les grands groupes. Cependant cela peut parfois générer un effet pervers où l’on va se défausser entièrement sur lui de la question de la cybersécurité. Or, il n’est qu’un chef d’orchestre qui va mettre en musique les contributions de l’ensemble des collaborateurs, du stagiaire jusqu’à la direction générale. A ce titre, l’adoption de bonnes pratiques par chacun est primordiale.
Qu’en est-il justement de la relation de ces experts avec les dirigeants ?
La sensibilisation à la cybersécurité est l’une des responsabilités principales du RSSI. Mais il n’est pas toujours facile pour eux de toucher le top management. C’est une question de légitimité transversale qu’il faut construire, avec les bons arguments. Pour se voir ouvrir la porte des dirigeants et leur faire comprendre tout l’enjeu de la cybersécurité, les RSSI doivent pouvoir produire des analyses de risques, intégrant les mesures de l’impact métier/business des sujets, tout en assurant la coordination avec les équipes techniques et en s’assurant de la cohérence entre les pratiques de l’entreprise et sa politique de sécurité. Avantage : la majorité des RSSI ne sont plus ces « empêcheurs de tourner en rond » qu’on leur a souvent reproché d’être. Ils sont au contraire aux premières loges pour accompagner leurs dirigeants dans la transformation numérique de l’entreprise et la diffusion de ces pratiques d’innovation.
Comment cela ?
La mission d’un RSSI est de faire passer les responsables dans l’entreprise d’un sentiment de peur, un peu flou et parfois irrationnel, à une démarche de gestion raisonnée des risques. Or, la gestion des risques et la prise de décision en conséquence, sont l’une des premières responsabilités d’un chef d’entreprise ! Pour saisir toutes les opportunités du numérique, il faut réfléchir en connaissance de cause, connaître les avantages comme les risques. Il en va ainsi pour des sujets comme le cloud ou la mobilité, porteur d’ouverture, de changement et donc bien évidemment de certains dangers. Mais qui doute par ailleurs qu’une force de vente mobile et connectée est aussi un avantage concurrentiel majeur ? Aujourd’hui, le message qu’un RSSI doit pouvoir adresser à son patron est : Il faut innover, il faut avancer. Principalement parce que le RSSI sait que les préoccupations, légitimes, en matière de sécurité, ne sont pas une raison suffisante pour rester attentiste et immobile dans un monde où tout change. Le RSSI doit aider les dirigeants à trouver le bon équilibre entre opportunités et risques.
Quels conseils donner aux dirigeants d’entreprises en matière de cybersécurité ?
D’abord, que le sujet n’est pas aussi complexe qu’ils le croient. Il est possible d’être des acteurs à part entière de la sécurité de l’entreprise même sans aucun bagage technique. C’est même une nécessité. En effet, les meilleurs outils et logiciels de protection sont inefficaces sans des usages adaptés et des comportements sûrs. Pour prendre un exemple très terre à terre : il est inutile de doter son entreprise d’une batterie de systèmes de cybersécurité si un collaborateur ou un dirigeant utilisent des mots de passe aussi peu sécurisé que « 12345 ». Aujourd’hui, réduire le risque d’une attaque par e-mail n’est pas qu’une affaire de technologie, c’est aussi du bon sens ! Un dirigeant exemplaire en matière de comportement sûr, entrainera dans son sillage toute l’entreprise.
Ensuite, le point fondamental pour assurer la protection de l’entreprise est la volonté managériale de le faire. Ce n’est pas qu’une question de budget, car il est devenu illusoire de vouloir protéger à 100% l’intégralité d’un système d’information, de plus en plus ouvert et complexe. Il s’agit d’évaluer de quel niveau de protection ont besoin les différents points clés de son activité. C’est une vision stratégique – en connaissance de cause des divers risques existants – qu’il faut déployer dans l’entreprise. Et c’est bien au top management de faire ces choix. Le RSSI lui, travaillera à traduire concrètement cette vision et à y sensibiliser tous les autres acteurs de l’organisation.