Les bonnes pratiques de la gouvernance de la cybersécurité

Qu'est-ce que la gouvernance de la cybersécurité ?

La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.

Définition de la gouvernance de la cybersécurité

Des standards comme le COBIT de l’ISACA proposent de nombreuses définitions.

Dans la grande famille des standards ISO 27xxx, la norme ISO/IEC 27001 définit les principes de mise en œuvre d’un système de Gestion de la sécurité de l’information (ISMS – Information Security Management System), mais la gouvernance de la sécurité de l’information a sa propre norme : ISO/IEC 27014-2020.

L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) définissent ainsi la gouvernance informatique comme « les concepts, objectifs et processus […] par lesquels les organisations peuvent évaluer, contrôler, surveiller et communiquer les processus relatifs à la sécurité de l’information ».

Si on parle de gouvernance de la cybersécurité, c’est donc aussi parce que sa responsabilité incombe dorénavant aux échelons les plus élevés de la direction de l’organisation. Alors que la sécurité informatique a historiquement été du ressort des fonctions opérationnelles et techniques, les fonctions les plus élevées du management et même les Directions Générales se saisissent de plus en plus souvent du sujet de la sécurité de l’information. Les fonctions telles que Responsable de la sécurité des systèmes d'information (RSSI), Direction des Systèmes d’information (DSI) et responsable des risques (CRO : Chief Risk Officer) portent ce sujet auprès de la direction.

De manière plus synthétique, la gouvernance de la cyber sécurité (cybersecurity governance) consiste en l'ensemble des décisions qu’une organisation doit prendre pour sécuriser son système informatique et ses informations.

‍

Quelle utilité pour la gouvernance de la sécurité de l’information?

La gouvernance de la cyber sécurité doit, en premier lieu, s’appuyer sur la gestion des risques cyber. Il faut réussir à anticiper les failles de cybersécurité pour chiffrer et limiter les futures pertes financières. Ces pertes dépendent elles-mêmes du niveau de d’appétence au risque de la société, c'est-à-dire des pertes financières qu’elle est prête à accepter ou non.

‍

Chez C-Risk, nous préconisons que l’analyse du risque repose sur des critères quantifiables et mathématiques, tels que définis par le standard Factor Analysis of Information Risk (FAIR™). L’action de gestion des risques cyber qui en découle peut recouper différents types de réactions : traitement du risque, suppression, tolérance ou transfert.

Qui est concerné par la gouvernance informatique ?

Comme expliqué ci-dessus, parce qu’il s’agit d’une gouvernance, la cybersecurity governance dépend en premier lieu des instances de direction de l'entreprise. Le comité exécutif (COMEX) et le conseil d'administration incarnent donc les acteurs centraux des décisions prises en la matière. La DSI n’est ainsi plus l’acteur central de la démarche, même si elle épaule et sensibilise, bien sûr, l’équipe dirigeante.

Côté entreprise, nulle n’échappe vraiment à la nécessité de définir une gouvernance de la sécurité informatique. Parce que cette gouvernance doit permettre de prévenir et de réguler le risque cyber, elle concerne aujourd’hui toutes les tailles de sociétés.

‍

Rappelons que les cyberattaques ont nettement augmenté depuis 2020. En 2018, le baromètre de la cybersécurité des entreprises du CESIN montrait que 92% des entreprises avaient déjà subi au moins une cyberattaque. C’est d’autant plus vrai que les petites et moyennes entreprises incarnent des cibles de choix pour les hackers. Ils les savent moins protégés des cyberattaques que les grandes structures.