Les discussions des administrateurs autour de la cybersécurité ont évolué. Les membres des équipes de sécurité ne sont plus considérés comme de simples experts en technologie mais comme les architectes de la résilience des entreprises contre les cybermenaces. Ce changement d'optique est lié à l'augmentation des cyberattaques, au contexte géopolitique et à la transformation numérique.
Les conseils d'administration souhaitent désormais des informations stratégiques de la part des responsables de la sécurité. Ils ne se contentent pas d'un simple rapport faisant état de l'installation d'un pare-feu ou de la conformité aux règlementations. Ils cherchent à comprendre comment les tactiques de cybersécurité s'inscrivent dans la stratégie de l'entreprise et jouent sur la valeur pour les actionnaires. Le dialogue est essentiel. Les administrateurs attendent des équipes de sécurité qu'elles associent le jargon de la cybersécurité au sens des affaires.
Ainsi, quelles sont les informations dont votre conseil d'administration a besoin ? Quelles sont ses priorités ? Qu'attend-il de votre équipe ? Dans cet article, nous allons explorer les priorités des conseils d'administration en matière de cybersécurité et la manière dont les responsables de la sécurité peuvent communiquer efficacement avec eux.
Auparavant, les conseils d'administration envisageaient la cybersécurité comme un domaine réservé aux équipes techniques, ces dernières étaient maintenues à l'écart dans les salles de serveurs. Le cyber-risque était quelque chose d'abstrait et intangible. Ce n'est plus le cas. Il suffit d'observer les répliques qui ont suivi les attaques géantes telles que Equifax et Colonial Pipeline. Celles-ci ont paralysé le cœur même des entreprises, infligeant des conséquences commerciales considérables qui ont redéfini le cyber-risque en un danger observable et omniprésent.
Les nouvelles règles de divulgation des cyber-risques de la SEC mettent les bouchées doubles autour de cette menace. En rendant obligatoire la publication rapide des cyber-incidents majeurs et la divulgation annuelle des programmes de cybersécurité, la SEC met en évidence le cyber-risque. « Qu'une entreprise perde une usine dans un incendie ou des millions de fichiers dans un incident, l'incidence est importante pour les investisseurs, » déclare Gary Gensler, président de la SEC. Le conseil d'administration doit désormais être fortement impliqué dans l'évaluation des cyber-incidents, la divulgation des planifications et la validation des programmes de sécurité.
Tandis que le conseil prend la mesure de la gravité des cyber-risques, il n'est pas toujours très familier avec le langage ésotérique des menaces, des vecteurs et des contrôles. Cette lacune engendre des difficultés de communication stratégique. Les conseils d'administration ont besoin d'informations détaillées concernant les cyber-risques qui pèsent sur leurs résultats commerciaux et il leur faut des plans précis pour maîtriser ces risques.
C'est à nous les leaders de la sécurité qu'il revient de combler cette lacune, en agissant comme des interprètes pour former les conseils d'administration avec un langage commercial simple, et non un jargon technique. Nous devons contextualiser les menaces au sein des priorités des entreprises, telles que la confiance de la clientèle, la résilience du service et la position sur le marché.
Les nouvelles règles de la SEC confirment que le cyber-risque est indissociable du risque commercial. Nos rapports doivent tenir compte de cette nouvelle réalité. Les conseils d'administration sont en état d'alerte maximale, notre rôle est de leur éclairer la voie.
Le casse-tête de la démonstration du retour sur investissement en matière de cybersécurité ! Le conseil est plus que jamais soucieux d'investir dans la sécurité, mais personne n'attend une rentabilité dollar pour dollar. Il lui importe plus de connaître la corrélation entre des investissements dans la sécurité et une architecture d'entreprise plus sûre et robuste.
Voici un exercice intéressant : tandis que vous préparez la prochaine réunion du conseil d'administration, ne vous contentez pas de présenter des chiffres, expliquez les conséquences, racontez une histoire. Il ne s'agit pas de raconter un conte de fées, mais de donner des exemples dans la réalité de la manière dont les actions rapides de votre équipe ont permis d'éviter un cyber-désastre. Vous avez remplacé votre VPN par Zero Trust Network Access et déployé un tout nouveau système XDR ? Formidable. Quelle a été l'incidence sur votre capacité à protéger les utilisateurs et à réduire le temps de réponse à l'incident ? N'hésitez pas à proposer des chiffres mais faites en sorte que ces chiffres racontent une histoire.
Bien sûr, les réussites ne sont pas toutes facilement quantifiables. Cependant, même pour des bénéfices intangibles tels que le renforcement de la réputation, nous pouvons associer des indicateurs de mesure qui donnent une idée de valeur. L'essentiel est de mettre en corrélation les programmes et les dépenses avec l'atténuation du risque qui influence directement les performances et l'état de santé de l'entreprise.
Dans ce contexte, la cybersécurité n'est plus un centre de coûts mais une fonction stratégique qui contribue à la résilience commerciale. Avec des investissements judicieux, il est possible de constater combien la sécurité fait office de bouclier compétitif dans la mesure où elle permet de prendre des risques avisés qui favoriseront la croissance. C'est cet aspect plus général du retour sur investissement qui intéresse les conseils d'administration.
À l'observation en détail de la nébuleuse que constitue la cybersécurité moderne, force est de constater que l'intelligence artificielle s'y trouve comme un éléphant dans un magasin de porcelaine. À mesure que nous intégrons l'intelligence artificielle générative dans nos stratégies de cybersécurité, les administrateurs observent, prennent des notes et ne manquent pas de hausser les sourcils.
Pourquoi sont-ils nerveux à propos de l'IA ? Prenons l'exemple des chatbots d'IA, un outil formidable pour l'automatisation du service client, mais que se passe-t-il lorsqu'ils deviennent des vecteurs de désinformation ou de fuites de données ? Le conseil d'administration souhaite avoir l'assurance de ce qu'une fois l'IA adoptée, les mesures de gouvernance, explications et dispositifs de sécurité adéquats auront été mis en place.
L'imbroglio éthique entourant la reconnaissance faciale, le copyright de l'IA et la boîte de Pandore des hypertrucages ne sont pas que des thèmes dystopiques pour des séries à regarder en streaming. Non seulement c'est la réalité, mais ça se passe maintenant. Qui plus est, nos conseils d'administration ne se contentent pas d'observer passivement. Ils sont les cibles potentielles des cybermenaces générées par l'IA. Par conséquent, comment pouvons-nous les préserver et faire en sorte qu'ils ne deviennent pas un autre vecteur d'attaque ? Le conseil d'administration ne fait pas que « discuter » de l'IA ; il interroge et étudie, et les équipes de cybersécurité sont sous les feux de la rampe car c'est à eux qu'il revient d'apporter les réponses si attendues.
Dans les conseils d'administration, le discours autour de la sécurité évolue. Celle-ci y est de plus en plus envisagée comme une culture plutôt qu'un département.La devise « La sécurité relève de la responsabilité de tout le monde » est non seulement adoptée, mais élevée à un niveau stratégique.
Si par le passé, l'erreur humaine a toujours été le talon d'Achille de la sécurité, l'évolution actuelle du scénario pourrait à l'inverse faire de l'élément humain un véritable atout. La formation des collaborateurs ne répond plus à une simple obligation de mise en conformité ; il s'agit d'une arme stratégique.
Imaginez un instant : un collaborateur ayant reçu la formation adéquat déjoue une tentative de phishing qui aurait pu coûter des millions. Voilà une histoire que les administrateurs ont envie d'entendre, n'est-ce pas ? L'élément humain n'est pas un bug, c'est une fonctionnalité. Cessons de blâmer les utilisateurs lorsqu'ils cliquent par inadvertance sur un lien malveillant. Amenez plutôt les collaborateurs à s'impliquer et s'investir dans la cybersécurité et instaurez dans votre entreprise une culture sans reproche. Équipez les utilisateurs de cyberprotections qui leur permettent de travailler en toute sécurité et d'être plus à même de signaler tout ce qui leur semble suspect. Et n'oubliez pas d'impliquer votre conseil d'administration dans votre culture de la sécurité.Idéalement, la culture de la sécurité ruisselle de la salle de conseil d'administration et remonte des actions quotidiennes.
Souvenez-vous de l'attaque de SolarWinds. Certes, nous l'avons placée dans la catégorie des événements liés à la cybersécurité, mais ne s'agissait-il pas avant tout d'un chapitre d'une saga géopolitique tentaculaire ? Votre conseil d'administration est pleinement conscient de ce que le champ d'action de la cybersécurité va bien au-delà des murs de l'organisation. Elle fait désormais partie intégrante du paysage mondial.
Les dynamiques géopolitiques se sont officiellement invitées dans les conversations autour de la cyber sécurité, et elles sont venues accompagnées de personnages complexes : les menaces Nation-État, les activistes, la souveraineté en matière de données, la confidentialité et les problèmes de conformité internationale. Souvenez-vous, il était coutume de penser que ce sujet était le casse-tête d'un autre, aujourd'hui c'est le vôtre également. Et c'est d'autant plus le cas si vous travaillez dans un secteur considéré comme une « infrastructure critique »
Qu'est-ce que cela implique pour l'étendue de vos responsabilités ? Cela implique que vous êtes sur la même longueur d'onde que le conseil d'administration. Lors de la prochaine tenue du conseil d'administration, présentez quelques idées concernant la manière dont l'évolution des panoramas géopolitiques pourrait influencer votre stratégie de cybersécurité. Les administrateurs seront tout ouïe.
Traditionnellement envisagée comme un centre de coûts, la cybersécurité a évolué jusqu'à devenir une unité commerciale qui contribue aux prises de décisions stratégiques. Cette évolution est le changement de paradigme de ces dernières années le plus significatif pour les équipes de sécurité. Votre conseil d'administration en est conscient et souhaite que vous le soyez également.
Ainsi, quelle est l'incidence sur le dialogue avec ces équipes ? Il ne s'agit pas uniquement d'exposer les dernières statistiques en matière de détection des intrusions ou encore de présenter l'efficacité d'un pare-feu. Présentez-leur plutôt un tableau dans lequel la cybersécurité représente la quille qui stabilise le navire de l'entreprise, lui permettant d'affronter des vents plus forts et des mers plus hautes. Lisez l'article suivant : « Market opportunities and business innovations—without capsizing. »
Qu'est-ce qui vous empêche de devenir ce gourou de la stratégie qui intègre à la perfection les considérations de sécurité dans ce qui fait l'ADN-même de votre modèle commercial ? Rien, si ce n'est des habitudes anciennes et une vision dépassée. Considérez cela comme un appel à l'action. Lors du prochain conseil d'administration, il ne devra pas être question de mise à jour mais de véritable révélation. Cette étape est pour vous une opportunité de passer du rôle de gardien à celui de guide, de portier à éclaireur. Soyez prêt au changement d'orientation.
Y sommes-nous prêts ? Sommes-nous disposés à passer du « Département du NON » au catalyseur grâce auquel l'entreprise proclamera un « Oui » stratégique ?
Citons William Gibson, « L'avenir est déjà là, il n'est juste pas distribué de manière uniforme. » Il est temps pour nous de diffuser plus largement notre sagesse en cybersécurité au sein de l'organisation, à commencer par le conseil d'administration. Ainsi, la prochaine fois que vous entendrez le mot « salle de conseil », ne vous imaginez pas en observateur mais plutôt en acteur stratégique avec un rôle à jouer dans l'organisation de ce que sera l'avenir de l'entreprise.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
John Engates – @jengates
Technology Officer, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Le changement de paradigme de la sécurité qui ne relève plus d'un seul département mais de la culture globale de l'entreprise
Comment élever le niveau des discussions autour de la sécurité au sein du conseil d'administration
Il est plus important d'expliquer l'incidence que de présenter des chiffres
Des acronymes aux actions : démystifier la sécurité Zero Trust
Connecter la cybersécurité à la valeur économique stratégique