En matière de sécurité informatique, la protection absolue n’existe pas. Le plus important pour une entreprise, c’est surtout de se préparer à se relever après un incident. Dans cet article, je passe en revue 7 principes de gouvernance pour viser une meilleure cyber-résilience.
Sony, Linkedin, Facebook, Uber, Equifax…. Qu’elles aient été victimes de ransomware ou de vol de données de clients, nombreuses sont les grandes entreprises à avoir connu des incidents de sécurité. Mais elles existent toujours. Certaines sont mêmes devenues plus résilientes, car elles ont les capacités financières et techniques pour se relever de ce genre de situations. En d’autres termes, elles ont eut droit à une deuxième chance. Qu’en est-il pour les PME ?
7 principes de cybergouvernance pour améliorer sa cyber-résilience
Cet article s’inspire librement d’un livre blanc publié en 2017 par le World Economic Forum. Il propose une série de principes et de méthodologies pour améliorer la cyber-résilience des entreprises.
Ce document a été conçu pour des entreprises multinationales ou des administrations publiques. A ce titre, certaines des recommandations qu’il contient peuvent paraître surdimensionnées aux PME qui composent l’essentiel du tissu économique de notre pays.
Dans notre travail de conseil, nous reprenons l’esprit de ces principes, en les adaptant à la réalité d’une entreprise de taille moyenne exerçant son activité en Suisse.
1. Responsabilité assumée
Le Conseil d’administration dans son ensemble assume la responsabilité ultime de la surveillance du cyber-risque et de la résilience.
Comme les managers, les administrateurs ont souvent tendance à voir les risques liés aux données comme un simple aspect opérationnel confié aux équipes de l’IT. C’est mal comprendre l’importance des données dans l’économie actuelle. Il s’agit d’un véritable actif stratégique, qui doit être géré au plus haut niveau de l’entreprise.
A ce titre, c’est bien la Direction et le Conseil d’administration qui seront tenus responsables en cas d’incident, comme cela a été le cas dans l’affaire Swisswindows.
Cette entreprise de fabrication de fenêtres basée en Thurgovie a été victime d’une attaque tout ce qu’il y a de plus banale. En mai 2019, un employé clique sur un lien dans un email qu’il a reçu. Et c’est tout le contenu du système d’information de l’entreprises qui se retrouve crypté en quelques minutes. Inutilisable.
Les auteurs demandent le paiement d’une rançon pour rétablir la situation. L’entreprise refuse. Il faudra 2 semaines aux équipes IT pour rétablir les outils de l’administration de l’entreprise. Et plusieurs mois pour relancer la production. Entretemps, les commandes ne peuvent pas être honorées. Swisswindows croule sous les pénalités contractuelles et n’encaisse pratiquement pas un sou.
Un peu moins d’un an plus tard, la faillite est déclarée. 170 employés se retrouvent sans emploi, certains sont victimes de dépression ou de burnout. Le patron déclarera plus tard: «On m’avait parlé des risques, mais je pensais que ça ne pouvait pas nous arriver. Pas à nous. Je n’en veux pas à mon collaborateur, c’est moi le responsable.»
2. Maîtrise du sujet
Les membres du Conseil d’administration reçoivent une orientation sur la cyber-résilience lorsqu'ils rejoignent le conseil et sont régulièrement informés des menaces et tendances récentes.
Les enjeux de cybergouvernance et de cyber-résilience ne sont pas un élément d’une longue liste de thèmes que l’on peut cocher en disant: «Ça, c’est fait!».
Au contraire, l’ampleur et la nature des risques sont des sujets qui évoluent continuellement. Ils doivent donc doivent être suivis de façon régulière par le Conseil d’administration.
Cela implique que les membres soient capables de comprendre la thématique et ses implications. Il est donc indispensable de leur faire suivre une formation de base, permettant de comprendre a minima les enjeux et impacts métiers des choix technologiques.
3. Responsable identifié
Le Conseil d’administration veille à ce qu'un responsable de l'entreprise soit chargé de rendre compte de la capacité de l'organisation à gérer la cyber résilience et des progrès réalisés dans la mise en œuvre des objectifs de cyber-résilience.
Ce principe permet d’éviter que la cybergouvernance ne se retrouve dans un «no man’s land», une situation où chacun pense qu’il s’agit de la responsabilité de l’autre.
Le responsable choisi devrait avoir une certaine indépendance vis-à-vis de l’IT, pour éviter de potentiels conflits d’intérêts. En effet, toute mesure de contrôle ou de sécurité a un impact sur le travail des équipes et il faudrait éviter que le responsable renonce à certaines mesures pour s’éviter des problèmes opérationnels.
De même, le responsable doit avoir un accès direct au CEO et au Conseil d’administration en cas de besoin. Il faut aussi lui allouer un budget dédié aux enjeux de cyber-résilience.
4. Intégration de la cyber-résilience
Le Conseil d’administration veille à ce que la Direction intègre la cyber-résilience et l'évaluation des risques cyber dans la stratégie commerciale globale et dans la gestion des risques à l'échelle de l'entreprise.
Les enjeux de cyber-résilience ne doivent pas être traités comme des aspects à part. Ils doivent faire partie intégrante de la matrice des risques opérationnels.
Evidemment, cela implique d’avoir une stratégie informatique qui soit alignée sur le modèle d’affaires de l’entreprise. Mais soyons réaliste : c’est rare. La plupart du temps, l’IT et le business se côtoient en s’ignorant mutuellement.
Ce qu’il faut viser, c’est une situation dans laquelle l’IT agit comme un partenaire qui travaille avec le business sur des problématiques liées aux transformation des modèles d’affaires, à l’innovation et au développement des compétences digitales. Quant au business, il doit faire l’effort de comprendre le besoin de stabilité, d’efficacité et de sécurité des processus numériques.
Les outils numériques doivent faire partie intégrante des réflexions stratégiques. (source; IMD Digital Transformation in Practice
5. Tolérance au risque
Le Conseil d’administration définit et quantifie chaque année la tolérance au risque de l’entreprise par rapport à la cyber résilience.
Trop d’entreprises sont convaincues d’avoir réglé le problème des cyber risques en prenant un contrat d’assurance. Cela ne peut aider que pour des risques très résiduels.
Ce type d’approche montre que le Conseil d’administration n’a pas saisi l’impact réel des cyber risques sur la marche des affaires, la perturbation de ses activités, la qualité de ses services ou tout simplement la réputation de l’entreprise.
Il est essentiel de comprendre les aspects légaux, les attentes des clients et le fonctionnement de l’entreprise pour pouvoir décider en toute connaissance de cause des risques que l’entreprise accepte de prendre. Cela passe par une matrice des cyber risques correctement établie et régulièrement réévaluée.
6. Évaluation des risques
Le Conseil d’administration tient la Direction responsable de la communication d'une évaluation quantifiée et compréhensible des risques, menaces et événements cyber en tant que point permanent de l'ordre du jour.
Le domaine cyber évolue très rapidement, qu’on parle de matériel ou de services, par exemple. Au Conseil d’administration, on doit comprendre ce que ces évolutions signifient en termes de risques. C’est la raison pour laquelle une certaine maîtrise du sujet telle que décrite au point 2 est absolument nécessaire.
Cette évaluation est du ressort de la Direction, mais le Conseil doit pouvoir la questionner et la tester. Au final, il doit être convaincu que l’organisation est capable de gérer efficacement toute vulnérabilité en termes de cyber sécurité.
Pour cela, la Direction doit lui communiquer clairement les conséquences possibles d’un incident cyber: quels sont les dommages physiques, opérationnels ou juridiques, ou les dégâts d’image qui pourraient survenir à la suite d’un tel problème ?
OBJECTIF:
Le management a une compréhension commune des cyber risques
7. Résilience
Le conseil veille à ce que la Direction soutienne le responsable en charge en créant, mettant en œuvre, testant et améliorant en permanence les plans de cyber-résilience.
Une fois qu’une véritable stratégie de cyber-résilience a été adoptée en tenant notamment compte des risques, des opportunités et des coûts, on peut la décliner en un plan d’action.
Ce plan d’action doit ensuite être mis en œuvre en bénéficiant des ressources nécessaires. Evidemment, il doit être suivi sur le long terme. Car l’objectif n’est pas seulement d’être suffisamment résilient face aux risques, mais bien de le rester.
Conclusion
Le survol rapide de ces principes vous aura probablement fait réfléchir. Et vous rendre compte qu’au fond, le thème du cyber n’est pas si différent des autres problèmes de gouvernance dont doit s’occuper un dirigeant.
Mais ce n’est évidemment pas facile de savoir par où commencer… ou par qui se faire aider. La menace reste diffuse. Les experts IT sont très préoccupés par la technique, les juristes souvent pas suffisamment proches des réalités opérationnelles du métier.
Pour vous attaquer à ce thème, vous avez besoin de quelqu’un capable de faire le lien entre l’IT et le business. Ou alors acquérir les connaissances qui vous permettront de poser les bonnes questions. Et surtout de pouvoir challenger les réponses avec des questions qui vont plus loin.
Stéphane Droxler
PARLONS DE VOS DONNÉES
Si vous avez lu cet article jusqu’au bout, c’est sans doute que le sujet des données vous intéresse. Vous souhaitez peut-être savoir par quel bout empoigner le problème? Ou trouver la bonne manière d’aborder cette thématique avec votre Direction ou votre Conseil d’administration?
Je vous offre un appel de 30 minutes pour examiner ces questions avec vous. Sans engagement.