Une responsabilisation adéquate exige d’aller au-delà de l’assurance responsabilité civile
L’implication accrue des CISO dans les décisions stratégiques du conseil d’administration et l’amélioration du soutien juridique aux équipes de cybersécurité sont à reconsidérer. La notion de responsabilité est à revoir !
Face à une pression croissante, les CISO voient leur rôle évoluer sous l’effet de nouvelles réglementations, de cybermenaces toujours plus sophistiquées et d’exigences opérationnelles accrues. En l’espace de douze mois, deux organisations sur cinq (41 %) ont renforcé la participation des CISO aux décisions stratégiques du conseil d’administration, a chiffré Fastly (1 800 décideurs informatiques influents en matière de cybersécurité interrogés). Une nécessité ! Car, en même temps, 46 % des entreprises ne savent pas précisément qui porte la responsabilité ultime en cas d’incident !
DORA, NIS2 et, outre-Atlantique, les nouvelles règles de la SEC sur la gestion des risques de cybersécurité, la stratégie, la gouvernance et la divulgation des incidents par les sociétés cotées ont mis l’accent sur la responsabilité des entreprises en cas de violation de données. De là, une inquiétude accrue quant à la responsabilité des CISO. Pour réduire ce risque, 38 % des répondants promettent un « examen plus approfondi des documents de divulgation de sécurité par les organismes de contrôle ». 38 %, aussi, ont amélioré le soutien juridique du personnel de cybersécurité, notamment en matière d’assurance responsabilité civile.
Pour des normes plus claires et plus efficaces
« Si investir dans la protection juridique est une étape importante, ce changement vise souvent davantage à protéger les organisations contre les risques juridiques qu’à favoriser une responsabilisation significative pour améliorer les pratiques de sécurité », constate Marshall Erwin, CISO, Fastly. A l’entendre, il faut aller plus loin. Une responsabilisation adéquate exige d’aller au-delà de l’assurance responsabilité civile et des modifications des informations. « Pour un changement significatif, nous devons considérer la responsabilisation comme un facteur positif incitant à une meilleure sécurité. Pour cela, nous avons besoin de normes plus claires et plus efficaces de la part des régulateurs et des autorités de contrôle, qui distinguent les incidents inévitables des incidents évitables résultant de pratiques de sécurité véritablement défaillantes. »
L’étude de Fastly a également révélé que seulement 36 % des entreprises ont clairement défini les rôles et les responsabilités au sein de leurs équipes. L’étude met en évidence un déficit important dans la manière dont les organisations internalisent la responsabilité et traduisent les directives réglementaires en améliorations significatives des postures de sécurité.
La responsabilisation doit commencer au niveau de la direction
En matière de risques de sécurité, la question que le conseil d’administration devrait se poser est la suivante : « Le budget est-il aligné sur les risques signalés par le CISO ? » C’est là, continue Marshall Erwin, que la responsabilisation doit commencer : au niveau de la direction, avec une communication claire et une harmonisation des ressources.
Cette responsabilité ne repose pas uniquement sur une seule personne ; elle nécessite une communication claire à tous les niveaux de l’organisation. L’objectif est de comprendre comment et pourquoi les risques de cybersécurité doivent être atténués ; comment, aussi, les efforts doivent être coordonnés pour réduire l’exposition.
Créer de meilleures normes
Le rapport souligne la nécessité pour le secteur de se préparer au prochain incident majeur en mettant en place des cadres de responsabilisation plus solides qui encouragent des actions concrètes, plutôt que de simples mesures de conformité.
Face à l’évolution constante des normes réglementaires, les organisations doivent reconnaître que la responsabilité du CISO n’est pas une menace, mais une opportunité de consolider les postures de sécurité et d’impulser des changements durables au sein de l’organisation.
