Sécurité

Pourquoi recevoir un expert en sécurité informatique dans une séance du conseil d’administration ?

Les réseaux informatiques sont au cœur du fonctionnement des entreprises. Aussi la cybersécurité est en passe de devenir une discipline stratégique majeure au sein des plus importantes sociétés. L’expert en sécurité informatique a alors un rôle décisif de véritable garant du bon fonctionnement du système d’information permettant la pérennité de l’activité. À travers la politique de sécurité informatique qu’il coordonne, cet expert met en place les meilleures mesures contre les cyber-risques pesant sur la société afin de répondre aux objectifs des dirigeants et administrateurs.

Cybersécurité : Quelles questions les conseils d’administration devraient-ils poser à un expert en sécurité informatique ?

La cybersécurité est devenue un enjeu tel pour les sociétés de nos jours que tous les conseils d’administration devraient disposer d’informations expertes sur le système de sécurité informatique de leur organisation. Aussi avoir accès à un expert en sécurité informatique et pouvoir l’interroger est loin de devoir être considéré comme un luxe, mais bien un passage obligé. Les administrateurs de toutes sociétés pourraient alors poser les trois questions principales suivantes concernant la politique de sécurité informatique de leur entreprise.

Quelles menaces avez-vous identifié sur la sécurité informatique de notre société ?

Un expert en sécurité informatique doit être en mesure de disposer d’une vue d’ensemble régulièrement actualisée des menaces en matière de cybersécurité. Il va pouvoir vous exposer les risques technologiques qui peuvent affecter l’activité de la société, sa viabilité et sa réputation. Ces derniers peuvent être d’ordre varié : du vol de données, de l’hameçonnage, de l’erreur humaine, du piratage de messageries électroniques, de l’utilisation de logiciels malveillants, … Ils doivent faire l’objet d’une réévaluation au moins une fois par an dans la mesure où ces risques sont en constante évolution.

Quelles sont les mesures mises en place par l’expert en sécurité informatique pour atténuer ces risques ?

Après avoir identifié les menaces qui pèsent sur la sécurité de votre société, l’expert en sécurité informatique doit prendre les mesures adéquates pour les atténuer. Ainsi face à chaque risque identifié, il doit pouvoir vous préciser la stratégie qu’il a développée. Il est important de veiller à ce qu’elle soit performante en mettant en parallèle les bénéfices réalisés par chaque mesure et ses coûts. En effet, les dispositions prises ne doivent pas générer des frais disproportionnés au regard des préjudices potentiels.

Comment se décline le plan d’urgence en cas de crise ?

La politique de sécurité informatique de votre société doit avoir établi un plan d’intervention en cas de cyberattaque. Il est essentiel que tous les membres du conseil d’administration en aient connaissance. La gestion du risque ne peut pas être infaillible tant les menaces se développent devenant perpétuellement de plus en plus ingénieuses. Aussi il est impératif de mettre en place des plans précis en cas de crise. Votre entreprise doit se protéger contre les préjudices éventuels (financier, réputation, …) en sachant tirer les leçons des dernières atteintes à la sécurité survenues.

Qu’est-ce qu’une politique de sécurité informatique efficace et performante ?

À travers les réponses de l’expert en sécurité informatique, vous aurez une certaine idée de la politique de sécurité informatique de votre société. Cette dernière est la clé de voûte de la pérennité du système informatique de votre entreprise. Elle détaille la stratégie de la direction à travers un plan d’actions garantissant un certain niveau de sécurité. Différents points clés en assurent la qualité.
Pour être pleinement efficace, la politique de sécurité informatique doit faire l’objet d’une démarche d’élaboration réfléchie, compétente et sereine. Aussi il faut lui consacrer le temps nécessaire avec les ressources adéquates. Il ne s’agit pas d’improviser quelques mesurettes en réaction à un incident.

Avant de débuter la démarche, il est souhaitable que la direction transmette ses orientations en matière de sécurité informatique. De cette façon, il sera possible d’établir un plan en fonction d’objectifs de maîtrise des risques.

De plus, il importe d’en établir un document à 360° rédigé de façon formelle. Il va consigner tous les risques identifiés et les stratégies d’atténuation ainsi que les plans d’intervention d’urgence. Le système informatique doit être envisagé dans son entièreté pour une efficacité maximale.

À cette fin, il est nécessaire que l’expert en sécurité informatique circonscrive dès le départ le périmètre de la stratégie sécuritaire. Il importe de ne rien omettre : matériels, documents, logiciels, applications, points d’accès à internet, implantations, cloud, sauvegardes, … À partir d’un audit informatique, les éléments du système d’information doivent être catégorisés en fonction des risques encourus, de leur impact potentiel sur la société et du degré probable d’occurrence.

L’expert en sécurité informatique doit ensuite exposer dans la politique les mesures pour atténuer les menaces qui pèsent sur la sécurité du système informatique. Ces dernières doivent être concrètes et pragmatiques, tenant compte des coûts générés. Aussi, les résultats attendus doivent permettre de garantir un niveau de protection raisonnable.

En outre, il est nécessaire de procéder à des actualisations régulières afin d’être en mesure de répondre aux menaces qui évoluent en permanence. En effet, de nouvelles techniques de piratage apparaissent, de nouveaux logiciels malveillants sont créés et de nouveaux usages du personnel de la société éclosent. Aussi, le système informatique doit être maintenu en sécurité constamment.
Le plan d’actions doit aussi préciser quelles sont les responsabilités des uns et des autres. Tous les salariés, les dirigeants et membres du conseil d’administration sont concernés par la sécurité informatique et tous ont un rôle à jouer en la matière. Le document doit clairement préciser les règles à adopter.

Par ailleurs, il faut définir les plans d’urgence à mettre en application en cas de cyberattaque. Il est également important de veiller à en informer l’ensemble des personnels et responsables concernés. Toutes les procédures adéquates doivent être parfaitement connues et comprises de tous. De même, tous ces acteurs de l’entreprise doivent bien intégrer leur responsabilité à l’égard de la sécurisation.

Enfin, l’expert en sécurité informatique doit assurer le suivi de cette politique, son actualisation et son évaluation. Il doit s’assurer de la bonne diffusion des consignes et de leur application. Il importe également qu’il fasse des tests d’intrusion régulièrement. La cybersécurité est en effet une question cruciale pour les entreprises qui demandent un fort niveau d’expertise.

Parce qu’ils sont au cœur de la stratégie de leur société, les membres du conseil d’administration manipulent, partagent et échangent des informations hautement confidentielles. Aussi, sans être des spécialistes de la cybersécurité des sociétés, ils doivent avoir à cœur de s’intéresser à la bonne protection du système informatique de leur entreprise. Les risques encourus doivent être clairement expliqués aux administrateurs par un expert en sécurité informatique afin qu’ils en prennent la mesure et appliquent eux aussi les bonnes pratiques de sécurisation.

Si vous souhaitez connaître l’opinion de Peter Bonfield, président du conseil d’administration de l’entreprise néerlandaise NXP, quant au besoin des CA de recourir à un expert de la cyber-sécurité, regardez la vidéo suivante.

BLOGS À NE PAS MANQUER