La cybersécurité, nouvelle priorité du board
Si la cybersécurité tend à s’imposer davantage dans la stratégie globale de l’entreprise, encore faut-il savoir parler au board. Quelques conseils utiles…
«N’abordez pas le board en disant que vous rencontrez des problèmes. Il n’est pas là pour vous aider à résoudre vos défis, mais pour entériner une des solutions que vous lui proposez !», affirme David Weis, CISO, Arendt & Medernarch.
Les conseils d’administration exigent plus de compréhension des enjeux. Le temps du discours technologique est révolu. Les questions affectent désormais la façon dont les entreprises opèrent, prennent des décisions, anticipent le futur et enlignent leur vision stratégique, a expliqué David Weis au cours des Rencontres de la Sécurité Informatique organisées par Excellium Services, le 6 juin dernier.
Si l’on y réfléchit, rien d’étonnant : au-delà des gestionnaires, les membres du conseil d’administration ont le devoir de veiller à prévenir les risques majeurs pouvant affecter l’organisation. Ils doivent donc, eux aussi, en comprendre les enjeux économiques, opérationnels, réputationnels et légaux. Et alors que plusieurs conseils d’administration peuvent souvent compter, parmi leurs administrateurs, sur des avocats, comptables, actuaires ou encore des spécialistes en ressources humaines, peu de conseils d’administration comptent parmi leurs membres un spécialiste en cybersécurité. C’est là que le CISO a un rôle à jouer. Ou, à défaut, le CIO.
Connaître le board pour mieux le convaincre
«Vous serez amené à présenter vos propositions au board. Et vous devrez le faire d’une manière claire, pertinente et convaincante. Pour commencer, apprenez à bien connaître les membres», conseille David Weis. Quel que soit le secteur d’activité, la taille de l’entreprise ou son niveau de maturité en matière de cybersécurité, une présentation réussie dépendra de la connaissance du public. «Apprenez à connaître leurs antécédents, leur position respective et leur influence dans l’organisation. Apprenez à comprendre aussi leurs points sensibles et leur approche globale vis à vis de la sécurité et des risques. Plus vous en saurez sur les membres du conseil, plus il sera facile de les comprendre. Et cela vous permettra de les convaincre plus facilement avec des arguments qui leur parleront.»
Deuxième conseil : bannir les termes techniques. «Plus vous utiliserez des termes simples et mieux les membres du conseil comprendront votre présentation. Aussi, concentrez plutôt votre discours sur des principes et des scénarios faciles à comprendre. Bref, pas de SIEM, DDoS ou MITM ! Pour les administrateurs, ce qui compte c’est l’impact sur la réputation de l’entreprise, l’impact sur le business et les finances. Egalement sur leur propre responsabilité !»
Autre conseil : toujours s’appuyer sur des exemples réels ! L’impact de certaines cyber-menaces peut être souligné par des articles récents montrant les conséquences. Ainsi, par exemple, il peut s’agir des coûts résultant de l’absence de mise en oeuvre des mesures de cybersécurité appropriées. «Choisissez des organisations similaires à la vôtre. Vous pourrez ainsi montrer comment les stratégies de cybersécurité ont aidé à sécuriser d’autres organisations contre les violations et les intrusions.» De même, s’aligner sur la stratégie business globale de l’organisation.
Démontrer le retour sur investissement
«Quelle que soit la conviction de votre proposition, elle sera inutile si elle ne correspond pas à la stratégie globale de l’organisation. Vous n’êtes pas là pour discuter des difficultés inhérentes à la gestion de vos opérations de sécurité. Votre conseil d’administration ne s’intéresse qu’à la stratégie de haut niveau de l’entreprise. Aussi, chaque décision sera probablement basée sur la manière dont elle aidera l’organisation à atteindre ses objectifs business.»
Enfin, se concentrer uniquement sur les points importants ! La présentation doit se concentrer exclusivement sur les éléments critiques. «N’incluez jamais des informations ‘intéressantes à avoir’, mais non essentielles. Si vous éliminez le superflu, conseille encore David Weis, le board appréciera votre respect pour son temps. Et se rappellera d’autant mieux les points essentiels que vous souhaitez faire passer.»
L’idéal est donc d’adopter une approche basée sur la gestion des risques. C’est un des sujets auxquels ils sont très sensibles et qu’ils maîtrisent parfaitement. Et de démontrer un retour sur investissement. Une progression mesurable du niveau de maturité de l’entreprise en matière de cybersécurité peut aider à gagner l’adhésion des membres du conseil d’administration. Ils pourront ainsi être assurés que leur engagement a été payant.
Ces articles parlent de "Cybersecurity"
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC