in

Vers une approche business de la cybersécurité | François Gratiolet pour DOCaufutur

Les entreprises font face à des défis structurels :

  1. Des budgets de cybersécurité encore insuffisants : il est intéressant de comparer le budget informatique des entreprises (par exemple 4% du chiffre d’affaires des banques, 2% dans l’industrie) au budget sécurité informatique (2% à 5% du budget informatique selon les secteurs). Ainsi, par exemple dans le secteur bancaire, le budget de sécurité représente en moyenne 0,002% du produit net bancaire !
  2. L’allocation des ressources : les entreprises ont des difficultés à déterminer leurs « joyaux de la couronne », i.e. les informations qui créent le plus de valeur pour l’organisation, et à les protéger en conséquence. Les grandes entreprises se concentrent principalement sur les menaces techniques (malwares, chevaux de troie…) et cherchent insuffisamment à se « renseigner » sur les sources des menaces et leurs modes opératoires. Par conséquent, il leur est difficile d’élaborer et de quantifier des scénarios de risques cyber majeurs. Les entreprises protègent ainsi en priorité leur infrastructure informatique.
  3. La gouvernance: la fonction de sécurité de l’information est aujourd’hui généralement cloisonnée au niveau du département informatique. Actuellement, au moins de plus 50% des CISO (chief information security officer) sont positionnés au sein du département IT

Ces défis structurels nécessitent une nouvelle façon de faire. Les entreprises se doivent d’adopter une approche à la fois métier et pragmatique et de rechercher à la fois l’efficacité et l’efficience en matière de sécurité de l’information. L’efficacité signifie la mise en place effective de mesures de sécurité (préparation prévention, protection, détection et réaction), l’efficience pose la question du choix de la mesure de traitement du risque la plus avantageuse économiquement pour l’entreprise.

Dans le contexte actuel (digitalisation de la chaîne de valeur, croissance des menaces cyber…), une approche pertinente consiste à non plus « ériger un mur » autour des infrastructures informatiques, mais de protéger en priorité les informations les plus stratégiques pour l’entreprise (i.e. « les joyaux de la couronne ») en fonction de la valeur qu’elles représentent pour l’entreprise.

Pour cela, il est indispensable de définir de manière cohérente des catégories d’informations, de les situer au sein de la chaîne de valeur de l’entreprise, d’estimer leur valeur et de les protéger en fonction de la valeur à risque (i.e. en fonction de scénarios de risque élaborés de manière réaliste). En effet, vouloir protéger toutes les données sans distinction serait totalement inefficient. Afin d’estimer la valeur métier des actifs et d’identifier les « joyaux de la couronne », il est pratique d’utiliser des plages d’impacts financiers compris de l’ensemble des parties prenantes (par exemple entre 5M€ et 10M€).

La sécurité de l’information est désormais perçue comme un enjeu stratégique de direction générale, ce qui renforce la nécessité d’identifier les « joyaux de la couronne » dans la chaîne de valeur de l’entreprise et de les protéger de manière effective.

En effet, au-delà des impacts business apparents et spectaculaires (par exemples, arrêt d’une chaîne de production industrielle, pertes d’exploitation d’activités en ligne…), une mauvaise protection des informations a souvent l’oreille attentive de la direction générale. En effet, les risques réputationnels, tant sur le plan professionnel que personnel, la mise en cause de membres de conseil d’administration (par exemple, EquiFax, Target, Wyndham Worldwide, TJX Companies, ou Heartland Payment Systems), l’importance croissante des actionnaires « activistes » et des lanceurs d’alerte « parlent » naturellement aux dirigeants.

Il s’agit de tenir compte de cette nouvelle réalité où les processus et la culture de l’entreprise, et non plus seulement des solutions technologiques « sur étagère » qui restent indispensables, jouent un rôle prépondérant dans la protection des informations.

Pour cela, la fonction de la sécurité de l’information doit sortir des frontières de la DSI pour à la fois être visible des lignes métiers et de la direction générale, et avoir un réel impact sur l’entreprise. L’entreprise doit rechercher le « target operating model » le plus approprié à sa gouvernance. C’est à la direction générale de donner l’impulsion afin que la fonction CISO/RSSI ait le mandat pour conduire la transformation de la sécurité de l’information au sein de l’entreprise, et établir de manière pérenne la fonction sécuritaire.

Adopter des comportements exemplaires et établir de manière claire et partager les rôles et responsabilités des parties prenantes (lignes métiers, CIO, CISO, risk management…) demande une approche cohérente en termes d’apprentissage, d’éducation, de sensibilisation… Cette culture doit être ainsi transverse au sein de l’entreprise.

L’approche ainsi proposée permettra à terme de faciliter le dialogue entre la fonction CISO, la fonction Risques, le DPO, les lignes métier et la direction générale, de faire prendre conscience aux lignes métier de la valeur de leurs informations et de les aider à identifier leurs « joyaux de la couronne », et d’allouer des budgets afin de les protéger de manière plus efficace.

 

A propos de l’auteur

François Gratiolet est consultant en stratégie et marketing dans le domaine de la cybersécurité. Il est l’auteur de la formation “Leadership & cybersécurité”. Il est également membre de conseils d’administration de startups. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Telecom ParisTech (1999), il est certifié CISM, CISA et Risk Manager ISO 27005.  Il est membre de l’IFA et du groupe cybersécurité de Télécom ParisTech où il pilote l’initiative cyber assurance.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.