Les violations de données au deuxième trimestre 2023 ont augmenté de 114 % : l’importance d’une implication du conseil d’administration

Les signalements de violations de données au deuxième trimestre 2023 ont augmenté de 114 %, selon une étude (États-Unis). L’année se dirige vers un nouveau record. Cette problématique relève du rôle du RSSI. Cependant, pour que ce rôle soit efficace, il faut le soutien adéquat du conseil d’administration. Explications.

En Europe, en 2022, l’ENISA (Agence de sécurité européenne) a mis en garde contre une recrudescence des exploits Zero Day, des ransomwares en tant que service, des pirates informatiques agissant pour le compte d’autrui, des attaques de la chaîne d’approvisionnement et de l’ingénierie sociale.

Du travail pour le RSSI ? Oui, mais il est important, pour lui ou elle, d’obtenir l’engagement et l’adhésion aux projets, notamment de la part du conseil d’administration, explique l’éditeur ESET dans une tribune publiée en ligne. Et pour cause, il y a souvent un décalage entre les dirigeants d’entreprise et ceux en charge de la stratégie informatique et de la cybersécurité.

Le problème

En général, la perception de la sécurité est qu’il faut tenir les cyber-menaces à distance, mais pas plus. De nombreux conseils d’administration considèrent encore l’informatique et la cybersécurité comme un coût nécessaire, mais pas comme une source de revenus – et certainement pas comme un catalyseur d’activité. Même si Gartner prédit qu’en 2023, les dépenses mondiales en sécurité augmenteront de plus de 11 %, atteignant près de 180 milliards d’euros, elles ne seront pas nécessairement dépensées de manière judicieuse.

Les conseils d’administration désengagés ont tendance à allouer un budget de manière fragmentée et réactive, par exemple, suite à une violation. Cela peut entraîner de mauvais résultats et l’accumulation de solutions ponctuelles peu rentables.

Selon une étude, seuls 39 % des décideurs en matière de sécurité estiment que les dirigeants de leur entreprise comprennent réellement le rôle de la cybersécurité dans le succès de l’entreprise. 36 % affirment que la sécurité n’est envisagée que pour des raisons de conformité, explique ESET.

Les solutions

La première étape vers une meilleure alignement de la cybersécurité, c’est d’être compris. Parler non pas un langage de bits et d’octets et de détails technologiques complexes, mais des risques commerciaux. C’est plus facile pour impliquer les dirigeants du conseil d’administration et obtenir leur adhésion à une initiative stratégique. Leur dire qu’une attaque de ransomware peut mettre 200 serveurs hors ligne et ils se demanderont “Oui, et alors ?” Mais expliquer que cela peut entraîner une semaine d’arrêt avec un coût de 400 000 € par heure et leur réaction sera très différente.

Parler dans une langue comprise des deux parties revient à partager des données basées sur des mesures qui traduisent les informations de cybersécurité en mesures qui intéressent le conseil d’administration et l’entreprise. Il convient de prendre en compte les mesures qui démontrent les performances et l’efficacité des contrôles de sécurité existants – pour illustrer les domaines dans lesquels les choses fonctionnent bien et les domaines à améliorer. Le suivi de ces mesures ajoutera un impact supplémentaire, tout comme les comparaisons avec les références du secteur.

Autre solution concrète : promouvoir la sécurité dès la conception et par défaut. Selon le Forum économique mondial, 43 % des chefs d’entreprise pensent qu’une cyberattaque “peut sensiblement affecter” leur organisation au cours des deux prochaines années. Ils évaluent la gravité du risque cybernétique, ce qui reflète un état d’esprit des conseils d’administration axé davantage sur la canalisation des ressources vers les investissements quotidiens que sur les investissements stratégiques.

Le RSSI doit convaincre ses pairs de considérer la cybersécurité de manière plus stratégique pour obtenir de meilleurs résultats. La sécurité dès la conception et par défaut est la meilleure pratique promue par les régulateurs du RGPD et autres. Cela signifie que les considérations de sécurité doivent être intégrées dès la création de nouvelles initiatives ou de nouveaux produits commerciaux, plutôt que d’être ajoutées à la fin ou à la suite d’un incident.

Articles similaires