FIC 2019: tous responsables de la protection des données et des actifs stratégiques ? Quel rôle pour le directeur de la cyber sécurité?

Tous responsables de la protection des données et des actifs stratégiques :  La cyber sécurité est l’affaire de tous, Guillaume Poupard l’a réaffirmé en introduction du FIC 2019 : « Tous connectés, tous impliqués, tous responsables ».

Quelles conséquences pour les entreprises, associations, fondations ou les organisations publiques ?       

• Comment les entreprises sont-elles organisées ? Suffit-il d’avoir trouvé la perle rare : un excellent RSSI (Responsable de la sécurité des systèmes d’information) ?comment le RSSI est-il impliqué aux fonctions opérationnelles et aux fonctions support ? comment le RSSI se positionne-t-il par rapport au DSI, CDO, DPO, Risk manager ? enfin comment est-il « connecté » au comité exécutif et au conseil d’administration 
• Comment les entreprises interagissent-elles avec l’écosystème : les fournisseurs, les clients, les partenaires, les prestataires informatiques, les opérateurs ?
• Enfin, quel est le rôle de l’Etat pour sensibiliser l’ensemble des acteurs, sécuriser l’environnement cyber des entreprises, préserver les droits des citoyens ?

Trois questions essentielles pour l’entreprise qui doit opérer en sécurité et conformité. Le rythme auquel les technologies et le monde numérique évoluent posent des difficultés aux organisations dont les systèmes d’informations, les cultures et les compétences ont une certaine ancienneté. 

Le 1er FIC (Forum International de la cyber sécurité) a eu lieu il y a 11 ans, l’Etat français s’est doté de l’ANSSI, reconnue internationalement, il y a 10 ans, les Etats voisins en Europe se sont également organisés pour offrir aux entreprises un environnement sécurisé durable (la fiscalité n’est pas le seul facteur d’attractivité !), les OIV (organisations d’importance vitale) ont pris conscience de ces nouvelles exigences il y a plusieurs années.

Mais, les menaces se multiplient, les attaques sont de plus en plus sophistiquées, et il y a des « cyber morts » parmi les entreprises (pas de backups, serveurs non patchés, utilisateurs non formés…). En effet les PME et TPE, qui n’échappent pas à la numérisation de leurs organisations, produits, et services, n’ont pas toujours les compétences nécessaires, les prestataires de qualité et les moyens suffisants, pour assurer la sécurité de leurs opérations numériques, et donc celles des grandes entreprises avec lesquelles ils sont connectés.

Comment trouver des partenaires de confiance, quelles solutions adopter, comment assurer la résilience de l’entreprise avec des ressources et des budgets limités, comment assurer la protection des données stratégiques et personnelles ?

Malgré les différences de taille et de secteur (la réponse n’est pas la même pour toutes les entreprises !), un certain nombre de pistes sur la gouvernance interne des entreprises, mais aussi sur les outils et les budgets, ont été explorées et discutées au FIC 2019.

Les grandes entreprises et certaines ETI se sont dotées d’un RSSI (responsable de la sécurité des systèmes d’information) ou d’un directeur de la cyber sécurité (appellation plus récente), qui, traditionnellement était rattaché au DSI (directeur des systèmes d’information). 

Pour garantir leur indépendance, les Directeurs de cyber sécurité sont de plus en plus souvent sont nommés par le comité exécutif (parfois sur proposition du DSI), et rattachés, selon les structures, au Secrétaire Général, au Directeur de la sureté, au Directeur des risques, ou au Directeur Général.

Le directeur de cyber sécurité est l’interlocuteur du Comex, du Conseil d’administration, parfois via le comité d’audit et des risques, et l’informe sur l’exposition de l’entreprise aux risques, les incidents et les dispositifs mis en place et à mettre en place. 

Son périmètre est large, puisqu’il s’occupe de l’ensemble des systèmes d’information : industriels, gestion, commerciaux, mais également de la protection des sites, et de l’entreprise étendue : fournisseurs, sous-traitants, prestataires, filiales sur l’ensemble des pays où le groupe a déployé des activités.

Ses missions sont multiples, et s’inscrivent dans l’objectif de développer et maintenir la confiance numérique que les parties prenantes (clients, fournisseurs, employés, actionnaires, partenaires…) accordent à l’entreprise, ses produits et ses services.

• Protéger les informations de l’entreprise, quelles qu’elles soient : stratégiques, financières, personnelles, mais aussi intervenir dès la conception (privacy & security by design)
• Conseiller le business dansle développement d’applications et de services qui permettent de développer des activités numériques et de créer de la valeur, en devenant un partenaire de confiance pour les clients traditionnels et de nouveaux clients.
• Contribuer à la conformité, notamment dans le cadre du RGPD ou dans le cadre de la directive NIS, qui prévoit le renforcement des capacités nationales de cyber sécurité, le renforcement de la cyber sécurité d’opérateurs de secteurs clés ainsi que de certaines plateformes numériques.

Le Directeur de la cyber sécurité s’appuie sur une chaine de RSSI au sein de l’entreprise (branches, filiales), établit la politique de sécurité applicable dans le groupe, la diffuse, et s’assure qu’elle est appliquée en lien avec la direction de l’audit interne.

Il est fait la synthèse des cyber risques, il est en effet important de relativiser les différents risques et comparer les impacts selon les business : un manque de sécurité dans les systèmes industriels peut avoir des conséquences beaucoup plus graves pour l’entreprise qu’une fuite de données non stratégiques ou non sensibles !

En matière de cyber sécurité, il est essentiel que chacun assume ses responsabilités :

• Toutes les informations ou décisions ne doivent pas forcément remonter au comex ou au conseil d’administration
• La création d’une direction de la cyber sécurité ne solutionne pas toutes les difficultés, les questions de cyber sécurité concernent tous les responsables de l’entreprise : la cyber sécurité est une responsabilité collective.
• Le directeur cyber sécurité est une fonction qui interagit avec l’ensemble des directions opérationnelles et fonctionnelles, sans oublier la Direction des achats et les M&A (Fusions & Acquisitions): il assure le fonctionnement et la pérennité des systèmes d’information, émet des notes de cadrage, amène la dimension transversale et 360° en toute indépendance. Il a un rôle prescriptif, un rôle de conseil, il anime les actions de contrôle interne, il ajuste les stratégies et plans d’action, après avoir mesuré l’efficacité des dispositifs (outils, processus et organisations) mis en place.

Certaines entreprises ont intégré le directeur de la cyber sécurité au comité exécutif, comme d’autres entreprises ont créé un comité numérique au conseil d’administration.

Il faut travailler ensemble, d’autant que les entreprises opèrent dans un contexte de réduction de coûts, d’automatisation et d’optimisation.

Comment s’inscrivent le DPO (Data Protection Officer), le CDO (Chief Data Officer) et le risk manager dans cette organisation ? ces questions feront l’objet d’un prochain article !