{ Tribune Expert } - Cadres dirigeants et cybersécurité : perception et priorités doivent changer

Une récente étude de Capgemini a révélé que 24 % des entreprises mondiales utilisent désormais l'intelligence artificielle dans une majorité, ou a minima une partie, de leurs activités. Si l'utilisation de la technologie devient peu à peu chose courante, elle reste paradoxale dans sa relation avec la cybersécurité. Et, à l'image de la réalisation progressive du potentiel de l'IA, les dirigeants d'entreprise doivent eux aussi désormais prendre conscience de l'importance de la cybersécurité pour protéger leur organisation.

Ces dernières années, la perception de la cybersécurité au sein des organisations a considérablement évolué, et cette fonction gagne en importance et en pertinence. L'influence personnelle des RSSI s'est améliorée tant en termes d'attitude que de perception. Ils s'impliquent davantage pour aider l'entreprise, dépassent leur statut de « bloqueurs » et deviennent des agents du changement. En parallèle, ils participent plus fréquemment aux décisions de l'entreprise, deviennent plus visibles et ont un impact plus important. La cybersécurité devient ainsi de plus en plus une fonction visant à équilibrer risques d'un côté et opportunités / innovation de l'autre. Elle sert de source d'information objective et impartiale qui aide les dirigeants à prendre de meilleures décisions et l'entreprise à atteindre ses objectifs et à relever les défis qui se présentent à elle.

Malheureusement, de nombreux conseils d'administration ou comités exécutifs considèrent encore la cybersécurité comme une question technique, qui devrait être traitée à un niveau moins élevé par un personnel expert dans ce domaine. En outre, l'intérêt tend à s'estomper rapidement, surtout si les responsables de la cybersécurité utilisent un « jargon » trop difficile à comprendre. Ils se sentent souvent mal préparés à une cyberattaque, même s'ils affirment que la cybersécurité est une priorité absolue. Les relations entre la direction générale, la cybersécurité et les RSSI peuvent ainsi encore être améliorées, et les dirigeants ne peuvent plus se soustraire à leur responsabilité en matière de cybersécurité, notamment car les mesures de sécurité de l'information sont beaucoup plus efficaces lorsqu'ils les soutiennent.

Engager les cadres supérieurs dans la cybersécurité

Les entreprises ne peuvent plus considérer la cybersécurité comme une préoccupation purement opérationnelle. Cela nécessite de changer radicalement d'état d'esprit, de ne plus se focaliser uniquement sur la conformité et la sécurité du périmètre et des données, mais de mettre l'accent sur la stratégie et la gestion des risques. Les organisations doivent encourager des comportements qui entretiennent la confiance dont toute organisation a besoin dans le monde numérique d'aujourd'hui.

Les membres des conseils d'administration et des comités de direction jouent un rôle clé dans la définition de la culture et du positionnement des entreprises en matière de cybersécurité. Il leur manque néanmoins un modèle complètement mature, centré sur l'auto-évaluation, qui peut les aider à évaluer concrètement leur niveau de responsabilité en matière de cybersécurité.

De nombreux dirigeants ne parviennent toujours pas à saisir l'impact stratégique que les risques liés à la cybersécurité peuvent avoir sur leur entreprise. Ils doivent comprendre l'éventail des menaces potentielles auxquelles ils sont confrontés dans le monde numérique d'aujourd'hui, les stratégies et les plans spécifiques nécessaires pour lutter contre celles-ci et garantir la cyber-résilience de leur organisation. Pour les cadres supérieurs, le RSSI représente un partenaire stratégique. Face à l'évolution constante des cybermenaces, un meilleur alignement des priorités dans ce domaine contribuera à renforcer la sécurité, la protection et la résilience de leur organisation.

Communiquer efficacement avec les cadres dirigeants

Pour faciliter le dialogue avec leur direction, les RSSI peuvent s'appuyer sur plusieurs points. En premier lieu, il semble essentiel d'aligner la conversation sur les priorités stratégiques des dirigeants. Comprendre leurs principales préoccupations (augmenter les revenus, optimiser l'efficacité opérationnelle, voire se développer sur de nouveaux marchés ou améliorer leur réputation) permet de positionner la cybersécurité comme un outil permettant d'atteindre ces objectifs. Elle peut dès lors être perçue comme un atout stratégique susceptible d'offrir un avantage concurrentiel distinct, et non comme une simple mesure de protection ou un coût supplémentaire. A cet effet, une stratégie efficace de budgétisation s'impose également. Aider les dirigeants à établir des priorités en fonction des exigences et des besoins de leur secteur d'activité, et identifier les menaces les plus susceptibles de causer le plus de dommages à leur organisation permet de générer une tactique mature qui se fonde sur les risques réels auxquels l'entreprise fait face, afin d'identifier les coûts nécessaires pour les atténuer.

De plus, les RSSI peuvent exposer à leurs dirigeants les risques technologiques liés à la cybersécurité en mettant l'accent sur les dommages potentiels qu'un incident pourrait causer aux activités de l'entreprise. Ils peuvent pour cela se servir d'exemples concrets, en particulier de concurrents, pour montrer que cela va au-delà des pertes financières résultant des perturbations opérationnelles et inclut le vol d'actifs, les violations de données des clients et les conséquences juridiques et réglementaires. Les dirigeants doivent également se familiariser avec les réglementations relatives à la confidentialité des données, telles que le RGPD , car elles exposent l'entreprise à la possibilité d'amendes ou de pénalités en cas de non-conformité. D'autres directives, comme NIS2, introduisent par ailleurs des exigences explicites pour que les dirigeants assument une plus grande responsabilité dans la gestion de la cybersécurité au sein de leur organisation.

Enfin, les entreprises, à travers leurs cadres dirigeants, doivent favoriser une culture de la cybersécurité dans leur ensemble. Elle se trouve partout, tout le temps. La plupart des cyber-incidents étant liés à des facteurs humains, il faut donc promouvoir les formations à ses enjeux pour l'ensemble du personnel, à commencer par l'équipe dirigeante. L'entreprise doit également l'intégrer dans ses stratégies commerciales et ses processus clés, et faire de la résilience un état d'esprit. L'une des plus grandes responsabilités aujourd'hui est de construire des « entreprises résilientes, qui peuvent non seulement se rétablir mais aussi s'adapter aux changements constants et aux menaces de l'environnement ». Pour y parvenir, il faut identifier et mesurer les conditions instables et transformer les menaces en opportunités de croissance et d'innovation.

Le développement et l'intégration d'une culture de la sécurité impliquant les hauts responsables est l'un des objectifs les plus difficiles et les plus complexes à atteindre. La perception générale est que la cybersécurité est lourde et entrave les opérations quotidiennes, imposant des restrictions, une communication continue et ralentissant l'activité. Néanmoins, il est crucial de changer et d'inverser cette perception négative. La cybersécurité représente avant tout un avantage stratégique que tous les échelons d'une organisation peuvent comprendre et apprécier. Cela implique d'éduquer et de communiquer clairement aux dirigeants les avantages à long terme, et de démontrer comment la cybersécurité ne protège pas seulement les actifs de l'entreprise, mais sert également de catalyseur à l'innovation et à la croissance durable au sein des organisations.

* Julien Fournier, est vice-president Southern Europe chez Netskope