Cybersécurité : mettre son organisation à l’épreuve

Si les organisations sont désormais conscientes des enjeux en matière de cybersécurité, elles peinent encore à mettre en œuvre les réponses adaptées. Pour Vincent Villers, Cyber Security Leader au sein de PwC Luxembourg, chacun doit se doter d’une réelle stratégie, qui passe par l’établissement d’un système global de pilotage des risques cyber et la mise en place des outils adaptés.

Vincent Villers, Cyber Security Leader – PwC Luxembourg

« La plupart des entreprises sont incapables d’évaluer leur niveau de couverture vis-à-vis des risques cyber, commente Vincent Villers. Elles n’y parviennent pas simplement parce qu’elles ne disposent pas d’une démarche structurée ainsi que des outils leur permettant de mesurer ce risque. » Le Cyber Security Leader de PwC Luxembourg fonde ses propos sur son expérience et les nombreux échanges qu’il entretient avec des organisations sur le marché. Si ces dernières n’ignorent pas l’ampleur des risques encourus, elles peinent à mettre en œuvre les réponses adaptées pour faire face à la menace, car leur visibilité n’est pas assez précise. « Les dirigeants sont conscients des enjeux. Pas uniquement parce qu’ils ont entendu parler d’attaques dans les médias ou dans leur entourage, mais parce que la plupart ont pris la peine d’effectuer des analyses, poursuit-il. La prise de conscience s’étend aux divers échelons de l’entreprise, au-delà de l’informatique et des équipes dédiées à la sécurité. Cependant, là où les lacunes sont encore et toujours constatées, c’est dans la mise en œuvre effective des mesures adaptées. »

 

S’évaluer pour mieux piloter les risques

Peu d’acteurs mettent en œuvre une vraie stratégie de cybersécurité. « Les entreprises disposent rarement d’un système global de pilotage des risques, qui inclut gouvernance, analyses des données, outils de protection, processus de réponse au cœur d’un cycle d’amélioration continue de la cybersécurité », précise Vincent Villers. Or, le seul moyen d’évaluer les risques aujourd’hui, c’est de mettre l’organisation à l’épreuve, de la tester. « Au-delà des tests techniques qui doivent être régulièrement effectués pour déceler des vulnérabilités au niveau de l’environnement informatique, il faut aussi pouvoir évaluer le système global de protection et notamment les mécanismes de la réponse à tout incident », poursuit le Cyber Security Leader. Sans effectuer régulièrement de telles évaluations, personne ne peut être sûr que l’organisation est effectivement prête à faire face. Sans ces tests, en outre, on ne dispose pas de réels indicateurs à communiquer aux équipes sur le niveau de cybersécurité, en vue de développer une véritable culture de la protection à l’échelle de l’entreprise et d’améliorer la stratégie afin de minimiser les risques.

 

Faire rimer performance et cybersécurité

« Si cela coince au niveau de la mise en œuvre d’une réelle stratégie et des mesures de protection adéquates, c’est souvent parce que la cybersécurité est prise en compte après de nombreuses autres considérations. Elle s’inscrit d’ailleurs souvent en faux contre d’autres objectifs, comme l’efficacité opérationnelle ou la performance financière par exemple. Face à l’évolution de la menace, les organisations doivent développer une réelle culture de la cybersécurité, en faisant de ces enjeux une priorité », poursuit Vincent Villers, qui cite l’exemple d’une grande banque, dont le comité de direction a placé la sécurité comme le critère le plus important à prendre en compte à travers l’ensemble des projets. « Un des enjeux est que la cybersécurité entre dans les critères de l’évaluation de la performance globale de l’entreprise et que cela se traduise à travers l’ensemble des départements, de l’IT au marketing en passant par les opérations et le front office, avec des indicateurs dédiés à mettre en place », poursuit Vincent Villers.

 

Faire de la cybersécurité un soutien au progrès de l’entreprise

En incluant ces nouveaux critères dans l’évaluation des équipes, on peut faire en sorte que les enjeux de sécurité n’entrent plus en opposition avec d’autres priorités, qu’ils ne soient plus relégués au second plan. « Bien sûr, faire face à la menace cyber implique des réponses technologiques. Mais la cybersécurité revêt une dimension culturelle et humaine. Au sein de chaque organisation, plus que de sensibiliser les collaborateurs aux risques, il faut les  responsabiliser, et ce de manière transversale. Pour cela, il faut mettre en place les incentives qui permettent à de réelles approches de gestion des risques de se développer. De cette manière seulement, la cybersécurité sera considérée comme un soutien, et non plus un frein, au progrès de l’entreprise. »

 

Aucun commentaire pour le moment.

Réagissez à cet article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *