Quand la cybersécurité s’invite au board…

De plus en plus souvent, c’est au niveau du conseil d’administration que les questions de cybersécurité sont évoquées. Pour les responsables de la sécurité informatique, c’est une opportunité de défendre leur vision auprès des décideurs… Toutefois, s’adresser aux dirigeants ne s’improvise pas !

De plus en plus souvent, c’est au niveau du conseil d’administration que les questions de cybersécurité sont évoquées. Pour les responsables de la sécurité informatique, c’est une opportunité de défendre leur vision auprès des décideurs… Toutefois, s’adresser aux dirigeants ne s’improvise pas !

La cybersécurité est un enjeu de plus en plus important au sein des entreprises. Si le conseil d’administration des grands groupes est de plus conscient des risques et des menaces, de l’impact qu’une fuite de données ou qu’une attaque peut avoir sur la poursuite de ses activités, ses membres n’en comprennent pas pour autant tous les tenants et aboutissants. Comment, quand on est responsable de la cybersécurité, référer les risques, menaces et solutions à mettre en place auprès des responsables exécutifs? La question était posée au cœur des dernières Rencontres de la Sécurité Informatique, organisées par Excellium, 6 juin dernier à Mondorf-les-Bains.

Dans sa transformation, Arendt intègre la sécurité

Pour évoquer le sujet, le spécialiste luxembourgeois de la cybersécurité avait demandé à David Weis, CISO d’ Arendt, de faire part de son expérience. « Notre groupe, qui compte 800 collaborateurs répartis à travers 7 pays, s’est engagé dans un ambitieux plan de transformation digitale. Un des défis est de s’appuyer sur les nouvelles technologies pour faire évoluer le métier d’avocat et les activités qui gravitent autour, avec la volonté de gagner en agilité et en efficience, en veillant à garder l’humain au centre de nos métiers, introduit David Weis. Dans ce contexte, nous devons apporter davantage de garanties de sécurité. Nos associés sont très soucieux du secret professionnel et de la confidentialité. Ces notions sont inscrites dans notre ADN. Pour un CISO, cela facilite sans doute les échanges autour des risques et des moyens de s’en prémunir. »

Un board mis en appétit

Il n’en demeure pas moins que c’est un enjeu critique. Un groupe qui a mis trente ans à construire assidument une réputation remarquable ne souhaite pas, du jour au lendemain, voir ce travail mis à mal par une fuite ou une attaque. Dans ce contexte, la sécurité de l’information a un rôle très important. « Notre mission est d’accompagner cette transformation digitale voulue par le groupe, en veillant à maximiser la sécurité, tout en la rendant la moins perceptible possible », explique David Weis. Cela va de la mise en place de solutions de protection à la sensibilisation des utilisateurs.

Longtemps perçue comme une fonction de support, la cybersécurité , au regard des enjeux actuels, s’invite désormais de plus en plus régulièrement à l’agenda du conseil d’administration. « Les enjeux réglementaires, comme GDPR, le fait que le sujet soit évoqué dans les grands sommets internationaux, la médiatisation des attaques… Tout cela fait prendre conscience aux dirigeants des enjeux en la matière, poursuit le CISO d’Arendt.On parle de plus en plus souvent, en la matière, de risque systémique. Cela crée un certain appétit au niveau du board. »

Comprendre les attentes du board et sensibiliser

Cette évolution dans l’appréciation de la cybersécurité au sommet de l’entreprise est une opportunité pour les CISO de faire valoir leur projet. Encore faut-il être en mesure de bien amener les sujets et les bons arguments devant cette audience particulière. Mais quand le board veut discuter cybersécurité, qu’attend-il exactement ? « Avant tout, leur désir est de comprendre. La cybersécurité, les menaces, les risques… Tout cela est très intangible. Les dirigeants n’ont pas toujours conscience des conséquences que peut avoir une attaque, commente David Weis. Avant de faire valider un budget ou une decision, il y a un vrai enjeu d’information, une phase primaire d’éducation. » Il est ensuite nécessaire de rendre compte de la sensibilité de l’organisation et de sa maturité vis-à-vis des enjeux. « Ce n’est qu’à partir de là que l’on pourra envisager les moyens d’améliorer la situation, en rendant les choses très concrètes », poursuit le CISO.

Quelques minutes pour convaincre

Souvent, le board n’aura que quelques minutes, un nombre limité de fois sur l’année, pour évoquer ces sujets. Il s’agit donc, quand le CISO est invité à sa table, de ne pas s’égarer. « Il faut parler leur langage, être conscient de leurs attentes. Pour un membre du conseil d’administration, la volonté est le plus souvent d’augmenter la valeur de la société et de gérer le risque. Il faut aborder les enjeux sous ce prisme. Si s’adresser au board est une opportunité, il ne faut pas la rater. Les personnes à qui l’on s’adresse ne sont pas des utilisateurs ni des équipes IT. Il faut donc être capable de prendre de la hauteur afin de convaincre de la nécessité de la démarche ou du programme de sécurité qu’il souhaite mettre en place. »

Faciliter la prise de décision

Le temps, au niveau du board, est précieux. « La plupart du temps, vous n’aurez qu’une vingtaine de minutes, questions comprises, pour présenter quelque chose. Il s’agit d’être préparé et de pouvoir donner l’ensemble des clés utiles pour permettre aux membres de board de prendre une décision éclairée. Il s’agit donc d’être synthétique, pertinent et compréhensible de tous, mais aussi d’activer les bons leviers pour mener les personnes face à vous à prendre la bonne décision, précise David Weis. Face à un enjeu, il ne s’agit pas de leur présenter un éventail de possibilités, mais une ou maximum deux solutions répondant à la problématique. »