in Avis d'experts

Avec la notation, la cybersécurité fait son entrée au COMEX – François Gratiolet, CYRATING

Une cybersécurité inefficace peut même mettre en péril les membres du conseil d’administration et les dirigeants. En l’absence de métriques, il est difficile d’évaluer la performance cybersécurité de son organisation en matière de cybersécurité. Or, la performance de toute structure, ses finances comme sa réputation peuvent lourdement souffrir d’une fuite de données ou d’une crise mal gérée. Grâce à la notation en cybersécurité, chaque entreprise peut mieux évaluer son exposition aux risques, sa capacité à faire face à un incident, et trouver de nouveaux leviers de performance. 

Les membres du conseil d’administration sont désormais responsables

Les cyberattaques augmentent régulièrement en termes de fréquence, d’impact sur les activités et de visibilité des entreprises, malgré des investissements toujours en croissance. Hier pudiques sur le sujet, les entreprises ne peuvent plus cachées les attaques cyber dont elles sont l’objet. Les cadres dirigeants sont de plus en plus anxieux, ne souhaitant pas à faire la une des journaux. L’été 2017 a été le témoin de multiples fuites de données. Les grandes organisations telles que Saint-Gobain, Renault, FedEx, Maersk, le système national de santé au Royaume-Uni, Deutsche Bahn, Telefonica ont fait face à plus de 100 millions d’euros de dommages et intérêts. Equifax a perdu plus de 5 milliards de dollars en capitalisation boursière en deux jours soit 35% de sa valorisation ! Le PDG, le DSI et le RSSI d’Equifax ont dû quitter la société. Une stratégie de cybersécurité inefficace peut ainsi mettre en péril les membres du conseil d’administration et une Direction générale. Il est temps que ce sujet devienne un des sujets du COMEX et non un dossier de la seule responsabilité de la DSI ou du RSSI. Les enjeux de réputation et de risque sur le chiffre d’affaires sont devenus trop importants.

La conformité et les mouvements activistes exigent plus de cybersécurité

Des réglementations européennes telles que la règlementation GDPR (general data protection regulation) et la directive NIS (network information security) entreront en vigueur en mai 2018 avec des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial. Nous pouvons probablement supposer que cela mettra sous pression les dirigeants et les membres du conseil d’administration de sociétés en Europe.

Un autre risque auquel les dirigeants et les conseils d’administration sont confrontés est l’actionnaire « activiste ». Les actionnaires peuvent faire alliance pour remettre en question les réélections des administrateurs quand il est perçu qu’ils n’ont pas fait assez pour empêcher une cyber attaque. En effet, au nom des actionnaires, le rôle du conseil d’administration est entièrement axé sur la gouvernance, c’est-à-dire sur le contrôle et la surveillance des décisions liées aux stratégies d’affaires et sur la gestion efficace des risques.

Or selon le guide sur la cybersécurité élaborée par la Bourse de New York (octobre 2015), les conseils d’administration échouent principalement à :

  • mettre en œuvre et suivre des programmes de cybersécurité efficaces ;
  • identifier et protéger les actifs et les activités de l’entreprise en négligeant les risques de cyberattaques et en ignorant les signaux d’alarme;
  • mettre en place et maintenir des contrôles internes pour protéger les informations personnelles ou financières des clients ou des employés;
  • prendre des mesures raisonnables pour aviser les clients en temps opportun que les systèmes de sécurité de l’information des sociétés ont été compromis.

Chaque entreprise doit disposer d’une stratégie cybersécurité et d’indicateurs

Parce que la cybersécurité devient un véritable risque métier, elle doit être abordée avec une approche de gestion des risques solide et professionnelle. Début janvier 2017, le World Economic Forum (WEF) plaidait pour actionner des principes et des outils de résilience cyber pour le conseil d’administration.

En effet, contrairement à toutes les autres disciplines de management (ventes, marketing, finance, etc.), la cybersécurité souffre d’un manque de données et d’indicateurs clés de performance (KPI). La cybersécurité doit être pilotée à partir d’indicateurs.

En octobre 2017, James Lam, membre du conseil d’administration d’E * TRADE, a déclaré à Forbes qu’il « aimerait voir plus de mesures et d’analyses de risques cybernétiques, y compris des commentaires d’experts comme les DSI et RSSI, sur l’environnement des menaces, les expositions aux risques et l’efficacité des contrôles clés » et qu’il « aimerait aussi voir les mesures d’assurance sur l’efficacité globale du programme et les signaux d’alerte rapide sur les menaces futures ». Par conséquent, les membres du conseil d’administration devraient recevoir du DSI et RSSI des mises à jour périodiques sur les risques cyber grâce à des mesures objectives, et devraient également avoir accès à des services cybernétiques externes possédant l’expertise et l’expérience nécessaires pour prendre des décisions sur ce qu’il faut faire (ou non) pour gérer les risques cyber.

La notation permet de mesurer l’efficacité cybersécurité

Les dirigeants, s’ils prennent aujourd’hui pleinement conscience du risque, interpellés par les gros titres dans les médias, peinent encore à évaluer leurs performances en cybersécurité, car ils manquent de critères objectifs, de repères et de points de comparaison.

Pour répondre à cette lacune et aux attentes des membres de conseil d’administration, aux États-Unis, des agences de notation ont vu le jour, avec pour mission d’évaluer l’efficacité cybersécurité des organisations et de fournir une certaine « assurance » aux membres du conseil. En Europe, une première initiative CYRATING à l’ambition paneuropéenne vient d’être lancée.

La notation en cybersécurité est de nature à renforcer la cybersécurité, la confiance et la transparence au sein d’un écosystème de partenaires, mais également à garantir à chaque organisation de meilleures performances. La fuite massive de données personnelles d’Equifax, à défaut d’avoir pu être évitée, constitue désormais un cas d’école. Simplement car ses dirigeants n’étaient pas préparés pour y faire face. Dans le cas d’Equifax, particulièrement, il a été révélé, au cœur de la crise, que la société avait été évaluée depuis plusieurs mois avec une note de « F » sur la sécurité des applications web quelques semaines plus tôt par une agence de notation. Cependant, les dirigeants d’Equifax étaient-ils au courant de cette note ?

Dans ce contexte, la notation cybersécurité doit être envisagée comme une opportunité par chaque dirigeant. Elle permet, en premier lieu, d’évaluer sa performance cybersécurité par rapport à ces enjeux et risques, de se comparer par rapport à d’autres acteurs et des standards établis dans l’industrie. Elle offre aussi à chaque organisation d’évaluer ses filiales, fournisseurs et partenaires, dans une optique d’amélioration de la gestion du risque et de répondre aux enjeux de conformité. Par exemple, avec l’arrivée du règlement GDPR, les entreprises sont incitées à évaluer la posture cybersécurité des fournisseurs dans leur chaîne de valeur. Entreprises, filiales, fournisseurs et partenaires se doivent d’être transparents et hyper responsable en matière de cybersécurité ! Mais comment s’y prendre pour une multinationale pour évaluer en continu des milliers de fournisseurs ?

Avec une notation, selon les performances et faiblesses révélées, les entreprises trouveront une base objective leur permettant d’identifier les plus fournisseurs les plus à risque et mieux allouer leurs ressources au service d’une meilleure gestion des risques. En connaissance de cause, chaque entreprise pourra activer les leviers lui permettant d’améliorer sa posture vis-à-vis de ses risques métiers. Avec de meilleurs investissements, c’est la performance globale de l’entreprise qui s’en trouvera améliorée.

Il permettra aux membres du conseil de rester impliqués dans le programme de cybersécurité de leur entreprise et de s’engager avec un niveau de soutien plus élevé. Parce que les membres du conseil seront plus impliqués, la cybersécurité sera encouragée, et les dirigeants, les managers et finalement tous les employés seront impliqués. Dans l’ensemble, cela améliorera la résilience digitale des entreprises et nous pouvons nous attendre à ce que cela apporte plus de valeur aux actionnaires.

 

A propos de CYRATING

CYRATING est la 1ière agence de notation de cybersécurité établie en Europe.

CYRATING aide les organisations à maximiser leur performance et leurs investissements en matière de cybersécurité en identifiant les possibilités d’amélioration, en les comparant aux meilleures pratiques de l’industrie et en fournissant des métriques de cybersécurité standardisées.

Notre plate-forme technologique, combinée aux connaissances de nos analystes, constitue une base solide et un langage commun pour les dirigeants et les responsables de la cybersécurité.

A propos de l’auteur

François Gratiolet est le co-fondateur et Président de CYRATING, la 1ière agence de notation cybersécurité en Europe. Il était précédemment Deputy Head of Group IT risk, Security & Assurance La Poste et CSO EMEA de Qualys. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Telecom ParisTech (1999), il est certifié CISM, CISA et Risk Manager ISO 27005. Il est membre de l’IFA (Institut Français des Administrateurs) et du groupe cybersécurité de Telecom ParisTech.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.