Comment nouer le dialogue avec la direction sur la cybersécurité ?

La médiatisation de cyberattaques semble avoir facilité la sensibilisation des comités exécutifs. Mais cela suffit-il vraiment pour convaincre les dirigeants d’intégrer la sécurité numérique dans leur stratégie ?

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !

Le 1er mars 2018, le MBA spécialisé management de la sécurité (MBAsp) de l’École des officiers de la gendarmerie nationale organisait son 3e colloque annuel autour d’un thème choc : « Comment se prémunir du cyberchaos ? » Au-delà de l’accroche provocatrice, les débats se sont concentrés sur la capacité des organisations à améliorer leur résilience – en creux d’une dépendance toujours plus grande au numérique. Et la question du rôle des dirigeants des entreprises privées s’est rapidement posée.

« Les comités exécutifs et les conseils d’administration ont eu une “prise de conscience médiatique” de l’état réel de la menace, après des attaques comme Wannacry et NotPetya en 2017 ; pour autant, ils n’ont pas de vision claire de ce qu’ils peuvent faire en réponse », a témoigné Jean- Claude Laroche, président du cercle cybersécurité du Cigref, le réseau des grandes entreprises françaises. L’expert, également DSI d’Enedis, a souligné le paradoxe que provoque la grille de lecture habituelle des dirigeants sur le risque quand elle est appliquée à la cybersécurité : « Quand on regarde ce qu’une entreprise a déjà pu subir, on se dit que le risque est faible, presque un facteur zéro, car les vraies crises cyber ont été très rares. Quand on se projette sur la croissance des cybermenaces, à l’inverse le risque paraît total, facteur un – obligé de survenir. Sans granularité entre 0 et 1, comment un dirigeant peut-il prendre des décisions efficaces ? »

Les dirigeants voient le risque… de ne pas être innovants

Cette difficulté à se positionner face à la réalité des risques est un facteur clé d’incompréhension entre les « experts de la sécurité » et les comex, reconnaît Sébastien Viou, consultant cybersécurité pour SFR Business : « Aujourd’hui, les exemples de grands qui sont tombés l’ont plus été par manque d’innovation et de prise de risque, qu’à cause d’une cyberattaque. C’est ce que les dirigeants retiennent. » Il souligne que le facteur de la rentabilité reste le point clé pour qu’un dirigeant puisse réaliser ses arbitrages. Or, la sécurité, quoique certains disent, à un impact faible sur ce point. « Beaucoup d’experts ont la tentation d’utiliser l’argument de la compétitivité pour justifier des investissements de sécurité. La réalité est qu’il s’agit d’une considération systématique pour un comex. Autrement dit, si vous avez besoin d’insister làdessus, c’est que l’état d’esprit des dirigeants ne s’y prête pas et qu’ils identifient d’autres leviers de différenciation concurrentiels plus intéressants », épingle Sébastien Viou. Faut-il donc plutôt invoquer l’argument de la pérennité de l’entreprise pour fédérer un comex ? Oui, mais avec précaution, estime l’expert : « La priorité est de bien faire la différence entre les sujets. Ceux des directeurs informatique ou sécurité qui espèrent obtenir plus de budgets de cette façon, sont très différents de ceux des comex qui n’observent pas du tout les mêmes indicateurs. Il faut donc concentrer ses efforts sur les clés que l’on va fournir pour arbitrer sur un budget. Sans cela, on en revient à “vendre” au comex une solution technologique pour répondre à une problématique technique. Au final, on se retrouve à accumuler des outils tout en devenant progressivement inaudible sur les thèmes vraiment structurants comme la culture sécurité de l’entreprise. »

L’analyse comme traducteur universel

Animer le dialogue avec les bons indicateurs est un chantier de fond, qui justifie qu’un groupe de travail du Cigref se penche depuis un an sur le sujet, a rappelé Jean-Claude Laroche lors de son intervention au colloque du MBAsp. Un rapport dédié devrait d’ailleurs paraître au tournant de l’année 2019. En attendant, le salut doit venir pour les entreprises de leur capacité à capitaliser sur l’analyse de risque. Loin des argumentaires à base de « recettes miracles », ce travail minutieux bien connu des responsables sécurité, reste le levier le plus crédible pour être entendu par un dirigeant. « L’analyse de risque est la seule vraie composante utile d’une stratégie de sécurité qui va trouver grâce aux yeux d’un comex, car elle peut déterminer concrètement l’investissement et le gain potentiel face à une prise de risque, sans jugement de valeur. Depuis la loi de Programmation militaire pour les opérateurs d’importance vitale, tout converge pour généraliser cette vision : le RGPD, la directive NIS, mais aussi par les comportements des grands donneurs d’ordre », résume Sébastien Viou. Reste à pouvoir tenir le niveau de discours attendu : un point de « forme » sur lequel il faut passer bien plus d temps que certains ne l’imaginent. En la matière, la montée en puissance des assureurs et des risk managers sur les sujets liés aux cybermenaces est une opportunité : leur habitude d’échanger avec des directeurs généraux et des directeurs financiers peut devenir le meilleur allié pour animer une discussion avec un comex.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le