Gouvernance de la cybersécurité

Gouvernance de la cybersécurité : petit guide pratique

La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.

C-RiskC-Risk
Publié le 5 avril 2022 (Mise à jour le 5 avril 2022)

Le dernier baromètre du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique, affirme qu’une majorité de comités exécutifs se disent dorénavant prêts à mettre la cybersécurité au cœur de leur gouvernance. Il faut dire que les enjeux de cybersécurité des entreprises ont été exacerbés en 2021. Les cyberattaques ont gagné en sophistication et en ampleur financière. Développer une gouvernance de la cybersécurité ne va cependant pas de soi. Il s’agit de s’accorder sur l’approche à adopter, mais aussi sur les acteurs impliqués et les freins à lever.

La gouvernance de la cybersécurité, c’est quoi ?


La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.

Définition de la gouvernance de la cybersécurité

Des standards comme le COBIT de l’ISACA proposent de nombreuses définitions. Dans la grande famille des standards ISO 27xxx, la norme ISO/IEC 27001 définit les principes de mise en œuvre d’un système de Gestion de la sécurité de l’information (ISMS – Information Security Management System), mais la gouvernance de la sécurité de l’information a sa propre norme :ISO/IEC 27014-2020. L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) définissent ainsi la gouvernance informatique comme « les concepts, objectifs et processus […] par lesquels les organisations peuvent évaluer, contrôler, surveiller et communiquer les processus relatifs à la sécurité de l’information ».

Si on parle de gouvernance de la cybersécurité, c’est donc aussi parce que sa responsabilité incombe dorénavant aux échelons les plus élevés de la direction de l’organisation. Alors que la sécurité informatique a historiquement été du ressort des fonctions opérationnelles et techniques, les fonctions les plus élevées du management et même les Directions Générales se saisissent de plus en plus souvent du sujet de la sécurité de l’information. Les fonctions telles que Responsable de la sécurité des systèmes d'information (RSSI), Direction des Systèmes d’information (DSI) et responsable des risques (CRO : Chief Risk Officer) portent ce sujet auprès de la direction.

De manière plus synthétique, la gouvernance de la cyber sécurité ( cybersecurity governance) consiste en l'ensemble des décisions qu’une organisation doit prendre pour sécuriser son système informatique et ses informations.

Quelle utilité pour la gouvernance de la sécurité de l’information?

La gouvernance de la cyber sécurité doit, en premier lieu, s’appuyer sur la gestion des risques cyber. Il faut réussir à anticiper les failles de cybersécurité pour chiffrer et limiter les futures pertes financières. Ces pertes dépendent elles-mêmes du niveau de d’appétence au risque de la société, c'est-à-dire des pertes financières qu’elle est prête à accepter ou non.

Chez C-Risk, nous préconisons que l’analyse du risque repose sur des critères quantifiables et mathématiques, tels que définis par le standard Factor Analysis of Information Risk (FAIR™). L’action de gestion des risques cyber qui en découle peut recouper différents types de réactions : traitement du risque, suppression, tolérance ou transfert.

Qui est concerné par la gouvernance informatique ?

Comme expliqué ci-dessus, parce qu’il s’agit d’une gouvernance, la cybersecurity governance dépend en premier lieu des instances de direction de l'entreprise. Le comité exécutif (COMEX) et le conseil d'administration incarnent donc les acteurs centraux des décisions prises en la matière. La DSI n’est ainsi plus l’acteur central de la démarche, même si elle épaule et sensibilise, bien sûr, l’équipe dirigeante.

Côté entreprises, nulle n’échappe vraiment à la nécessité de définir une gouvernance de la sécurité informatique. Parce que cette gouvernance doit permettre de prévenir et de réguler le risque cyber, elle concerne aujourd’hui toutes les tailles de sociétés.

Rappelons que les cyberattaques ont nettement augmenté depuis 2020. En 2018, le baromètre de la cybersécurité des entreprises du CESIN montrait que 92% des entreprises avaient déjà subi au moins une cyberattaque. C’est d’autant plus vrai que les petites et moyennes entreprises incarnent des cibles de choix pour les hackers. Ils les savent moins protégés des cyberattaques que les grandes structures.

La cybersécurité entre dans les responsabilités des directions générales

Pourquoi mettre en place une gouvernance de la cybersécurité ?


Le baromètre du CESIN paru en février 2021 affirme que le premier enjeu identifié par les entreprises en 2020 relève de l'intégration de la cybersécurité à la gouvernance. Cet enjeu était le plus important pour 60% des répondants. 72% des répondants se disaient d'ailleurs plus confiants sur le fait que le COMEX prenne en charge cette thématique.

Effectivement, mettre en oeuvre une gouvernance de la cybersécurité place le sujet informatique au cœur de la stratégie d’entreprise. Il devient dès lors plus logique d’investir dans d’autres domaines de préoccupation liés :

  • sensibilisation des collaborateurs aux cyber risques et aux vulnérabilités humaines qui les provoquent ;
  • allocation d’un budget suffisant à la cybersécurité ;
  • augmentation des effectifs dédiés ;
  • acquisition de logiciels permettant de mieux protéger l'entreprise des cyberattaques. Celle-ci est d’ailleurs souhaitée par 85% des répondants du CESIN.

Reste que le développement d’une cybersecurity governance fait naître de nouvelles problématiques, telles que :

  • la peur qu’une politique de cybersécurité freine la digitalisation de l'entreprise ;
  • la multiplication et le renouvellement constants des réglementations, qui obligent de procéder à des mises à jour régulières de la gouvernance de la sécurité informatique;
  • un manque d’experts dans les métiers de la cybersécurité ;
  • un retard pris en la matière pendant les confinements dus au COVID-19 ;
  • des RSSI en mal d’influence, doublé de DSI sous-staffées ;
  • le sous-financement des directions dédiées à la sécurité informatique ;
  • des méthodes d’analyse des risques biaisées, car trop subjectives.
La gouvernance de la cybersécurité réclame une collaboration entre de nombreux acteurs

Comment mettre en place une cybersecurity governance ?


La méthode de gestion du risque cyber suivi par C-Risk s’appuie sur la volonté de sortir des approches subjectives et donc approximatives de gestion du risque. Appliquée à la gouvernance cyber, elle permet donc de prendre des décisions de politique informatique éclairées par des probabilités chiffrées de pertes financières liées aux cyberrisques.

La démarche s’appuie sur un modèle de responsabilité de la cybersecurity governance réparti en 3 “lignes de défense” :

1 / La première ligne de défense consiste à délimiter la responsabilité opérationnelle de la gestion des risques. Il s’agit, en général, des responsables des processus métiers et des contrôles techniques du système informatique. Cette ligne de défense s’occupe des opérations quotidiennes de détection et d’évitement des incidents.

Elle comprend parfois une fonction de gestion des risques informatique qui, au sein de la fonction sécurité informatique, est chargée de l’analyse des risques et vulnérabilités de l’entreprise et de la surveillance des contrôles mise en place par la 1ere ligne de defense. Elle sert ainsi de point de contact entre la première et la deuxième ligne de défense.

2 / La seconde ligne de défense regroupe les fonctions manageriales de la gestion des risques cyber en interne, ainsi que les questions de conformité juridique. Elle est chargée de la définition des politiques, processus et des standards utilisés. Elle est également l’organe de vérification et de surveillance des actions de la première ligne. Il s’agit le plus souvent des missions qui relèvent du RSSI et du délégué à la protection des données (DPO).

3 / L’audit interne et externe représente la troisième ligne de défense contre le cyber risque. Il s’agit en fait d'une validation indépendante des première et deuxième lignes. Cette fonction relève généralement directement de la présidence-direction générale qui conduit cette revue annuellement, ou tous les six mois.

Ces trois catégories d’acteurs interagissent donc pour définir une gouvernance de la sécurité informatique solide. Il s’agit de définir les politiques et procédures capables de détecter, de prévenir et de répondre aux incidents cyber afin d’en limiter les conséquences négatives.

Les lignes de défense de la gouvernance de la cybersécurité façon C-Risk

FAQ

La gouvernance de la cybersécurité est la gouvernance dédiée à la sécurité informatique et à la protection vis-à-vis des cyberattaques. On parle de gouvernance car c’est un risque majeur qui concerne aujourd’hui toute l’entreprise et nécessite donc une politique globale.

Les risques cyber sont devenus très stratégiques pour les entreprises. Ils ne peuvent plus dépendre uniquement de l’opérationnel. Il s’agit désormais d’adopter des politiques de sécurité informatique capables d’englober les enjeux juridiques et financiers qu’ils recoupent.

La Gouvernance, Risque, Conformité (GRC) est une approche globale du risque, qui le croise avec ses implications en termes de stratégies d’entreprise et de conformité réglementaire. Il s’agit donc d’une démarche tout à fait adaptée à la gestion du risque cyber.