Sécurité

Cinq questions que chaque conseil d’administration devrait poser à son responsable de la sécurité des systèmes d’information

Vous êtes en ville pour une réunion de conseil d’administration et tombez dans l’ascenseur sur le responsable de la sécurité des systèmes d’information (RSSI). Ou mieux encore, il ou elle participe à la réunion de conseil pour rendre compte de la situation en matière de cybersécurité et parler du système de sécurité informatique. Vous voudriez jouer un rôle actif dans la gouvernance des données. Bravo ! Mais qu’êtes-vous censé demander ? Vous n’êtes pas un expert en cybersécurité et vous ne savez pas beaucoup sur le système de sécurité informatique.

Très souvent, les membres des conseils d’administration ne comprennent pas exactement en quoi consiste la fonction d’un responsable de la sécurité des systèmes d’information ou les différences exactes entre les tâches prises en charge par ce dernier et celles d’un responsable des systèmes d’information (CIO) et d’un responsable de la technologie (CTO). Si les CIO et CTO veillent au bon fonctionnement de la technologie, les responsable de la sécurité des systèmes d’information identifient et gèrent les menaces technologiques qui pèsent sur les activités ou sur la réputation de l’entreprise, alors ils gèrent le système de sécurité informatique. Ils doivent bénéficier d’une vue à 360 degrés sur ces menaces, sur leur coût éventuel pour l’entreprise et sur celui des mesures qui permettraient de proteger le système de sécurité informatique et réduire à un niveau acceptable la probabilité d’une cyberattaque.

Étant donné la fréquence des atteintes à la sécurité, la portée et l’ampleur de leurs conséquences, vous ne devrez pas attendre une rencontre fortuite dans un ascenseur pour vous rapprocher de votre responsable de la sécurité des systèmes d’information. Prévoyez des réunions directes, formelles et régulières avec lui.

Mais cela ne signifie pas pour autant que vous devez vous mêler des détails techniques relatifs aux risques et aux plans d’atténuation de ceux-ci. En posant une série de questions pertinentes, vous pourrez recueillir les informations qui feront de vous un contributeur actif aux principales décisions stratégiques concernant la sécurité de l’information :

1. Quelles sont les menaces principales pour le système de sécurité informatique auxquelles fait face votre entreprise ?

Il s’agit des « icebergs » qui cachent un potentiel de préjudices graves pour la viabilité de l’entreprise. Le vol de données fait souvent la une des journaux. Pourtant, les cyberattaques peuvent revêtir des formes extrêmement variées. Parmi les autres types de menaces potentielles, citons notamment les attaques par « déni de service » qui pourraient empêcher votre entreprise de fonctionner, ou encore l’introduction de logiciels malveillants et l’hameçonnage.

Découvrez les risques liés aux messageries électroniques, et autres outils de communication, ainsi que des avantages associés aux systèmes sécurisés pour conseils d’administration sur ce livre blanc.

2. Pour chacune de ces menaces graves, quelles sont les stratégies de haut niveau mises en place par votre entreprise en matière d’atténuation des risques et quel est le coût inhérent à leur mise en œuvre ?

Découvrez comment l’équipe chargée de la sécurité de l’information prévoit de réduire ces menaces à un niveau tolérable et d’assurer que les coûts d’atténuation ne dépassent pas les avantages escomptés. Le responsable de la sécurité des systèmes d’information doit aussi être capable de vous expliquer comment son équipe surveille la performance des mesures d’atténuation.

3. À quelle fréquence votre entreprise réévalue-t-elle les risques identifiés précédemment et cherche-t-elle à en identifier de nouveaux ?

L’équipe chargée de la sécurité de l’information ne doit jamais partir du principe qu’elle connaît toutes les menaces graves ou qu’elle les réduit efficacement. Assurez-vous que l’équipe réévalue au moins une fois par an les icebergs en vue et qu’elle réexamine ensuite l’efficacité des stratégies d’atténuation mises en place.

4. En quoi consiste le plan d’intervention en cas de crise si la gestion du risque s’avère inefficace ?

Il s’agit ici de savoir quand et non pas si votre entreprise subira une cyberattaque. Le préjudice financier et les conséquences pour sa réputation pourront varier fortement selon la manière dont elle réagira. Le RSSI doit être en mesure de présenter quelques diapositives qui synthétisent le plan d’intervention relatif aux trois principaux scénarios de menaces envisagés. Assurez-vous que l’équipe chargée de la sécurité de l’information a tiré les enseignements des derniers incidents survenus dans votre entreprise et dans d’autres et qu’elle met en œuvre des méthodes agressives pour gérer les conséquences éventuelles des attaques.

5. Dans quelle mesure les budgets alloués aux dépenses technologiques et au système de sécurité informatique sont-ils équitables et proportionnés ?

Les dépenses sécuritaires doivent augmenter proportionnellement aux dépenses technologiques. Il ne serait pas souhaitable que votre infrastructure technologique évolue plus rapidement que la capacité de l’équipe responsable à atténuer les risques. Veillez à ce que celle-ci dispose des ressources nécessaires pour rester à jour.

Rappelez-vous : vous ne devez pas être un expert en cybersécurité pour parler au responsable deu système de sécurité informatique. Si la discussion devient trop technique, redirigez-la vers des considérations plus commerciales. Les principes de bon sens et évaluations des risques par rapport aux retours qui sont au centre des discussions dans la planification d’une fusion ou d’une acquisition s’appliquent également lorsque vous abordez avec votre responsable de la sécurité des systèmes d’information les risques liés à la sécurité de l’information.

Découvrez ici les outils que la plupart des membres du conseil d’administration, ainsi que les cadres et les dirigeants responsables de la gouvernance utilisent pour améliorer leur gouvernance d’entreprise et sécuriser les données confidentiels. 

BLOGS À NE PAS MANQUER