Faut-il instituer un Chief Cyber Officer ?

Maîtriser le risque cyber exige des compétences techniques mais aussi juridiques du fait de l’inflation réglementaire galopante générée par la profusion de directives (NIS2, DORA, etc). Faut-il instituer un Chief Cyber Officer avec des responsabilités et des prérogatives bien définies ? Si les avantages ne manquent pas, les difficultés sont aussi bien réelles. Pour structurer le débat, voici une revue des principaux arguments en présence.

Après le RGPD qui a créé le DPO (Data Protection Officer), faut-il créer un Chief Security Officer (CCO) ? Philippe Latombe n’écarte pas cette option. Pour le député et président de la commission chargée d’examiner le projet de loi qui va transposer en droit français la directive NIS 2, cette opportunité doit être saisie pour enfin intégrer la cyber dans la gouvernance des entreprises : « Il devient désormais évident qu’une crise cyber a un coût immédiat, mais aussi sur le long terme, notamment auprès des clients et des fournisseurs. C’est une dimension un peu passée sous silence au sein des organisations, mais elle doit être prise en compte. Institutionnaliser un poste permettrait à ces réalités d’être directement explicitées aux membres du Comex. »

Un CCO permettrait aussi de relever un défi majeur : la transformation en cours de l’ensemble du champ cyber. « Créer dans les textes réglementaires la fonction de CCO présente le même intérêt que celui du DPO » souligne Stéphane Astier, avocat à la Cour en droit du numérique et de la cybersécurité : « À l’époque, c’était une réponse à la mutation des défis que devaient relever avant 2018 les correspondants « informatique et libertés » (CIL) dont les profils étaient souvent trop « techniques » et insuffisamment « juridiques » . Le domaine de la cybersécurité traverse une mutation similaire. »

Double vision

L’avocat regrette que la gestion de la cybersécurité relève encore trop souvent du domaine technologique alors qu’il va falloir combiner compétences techniques et juridiques du fait de « l’explosion réglementaire » en cours : « Cela impliquera d’avoir une double vision, qui est déjà celle demandée aujourd’hui aux DPO. Il faudra une forte appétence pour la cybersécurité mais également une solide expertise juridique de décryptage d’une réglementation particulièrement complexe. »

Avec cette double compétence, le CCO pourra traiter l’ensemble des enjeux cyber mais aussi des sujets stratégiques tels que les questions de responsabilité, de conformité, voire même des enjeux concurrentiels qui peuvent toucher des domaines très divers : risques de non-conformité, interdiction de mise sur le marché de produits non-conformes, amendes civiles, pertes de marché, pertes de certification ou actions contractuelles de clients mécontents du fait de défauts de garantie. Stéphane Astier rappelle que « toute une panoplie de risques viennent se surajouter à un éventuel black-out causé par une attaque informatique mal gérée ou mal anticipée ».

Un « contact identifié »

Avoir un CCO améliorerait le fonctionnement des entreprises et leur protection cyber, estime le député Philippe Latombe : « Cela permettrait d’avoir la certitude que des indicateurs sont monitorés et qu’il y a un suivi de la cybersécurité au sein des organisations. NIS2 prévoit effectivement la remontée d’indicateurs au COMEX ou à l’organe dirigeant, mais instituer la fonction de CCO permettrait d’être sûr qu’il y a une personne chargée de suivre ces indicateurs et de les transmettre correctement. »

Un tel CCO serait aussi le gestionnaire attitré des incidents cyber, ajoute Patrick Blum, délégué général de l’AFCDP (AFCDP : Association Française des Correspondants à la protection des Données à Caractère Personnel) : « Il serait le contact identifié pour assurer le pilotage de la cybersécurité, mais aussi son audit et sa documentation. Il s’assurerait que l’organisme en soit « comptable » comme on le dit pour le DPO. Un CCO de ce type, le jour où se produit une faille de cybersécurité qui doit être déclaré à l’Anssi, pourrait piloter la réponse et produire les documents à l’appui de la question inévitable : qu’avez-vous fait pour éviter un incident de ce type ? »

Réduire les coûts inutiles

Mieux encore : un CCO efficace permettrait de réduire des coûts. Aujourd’hui, les juristes sont focalisés sur la réglementation directement liée au cœur de métier de leur entreprise. Devant la complexité cyber, soit ils deviennent une source de contraintes et de « no-go » qui amène les dirigeants à les contourner pour faire avancer leurs projets, soit ils imposent des choix maximalistes. « Le manque de maîtrise des textes peut conduire à ces décisions coûteuses pour l’entreprise, constate Stéphane Astier. Une entreprise peut ainsi s’auto-appliquer un statut de « prestataire TIC critique » au sens de la directive DORA. Cela va faire exploser le niveau d’exigences en termes de conformité et avoir des impacts business colossaux puisque cette simple qualification provoque une augmentation très forte des coûts pour le provider de service qui aura ce statut. »

Reste à savoir où trouver les profils capables de remplir la mission du CCO ? Stéphane Astier propose de confier ce périmètre aux DPO : « La cybersécurité est l’un des piliers essentiels du RGPD. Transformer le DPO en CCO aurait d’autant plus de pertinence dans un contexte de forte pénurie des compétences. » Pour Valentin Thévenot, DPO de la banque BCP et qui a auparavant cumulé cette fonction avec celle de RSSI dans d’autres organisations, cette solution peut présenter un avantage : « Durant les quelques années où j’ai travaillé dans les hôpitaux, j’ai constaté qu’il y avait des enjeux d’attractivité mais aussi de rétention des talents. Avoir un RSSI distinct du DPO, et à fortiori un CCO, n’a rien d’évident mais cela peut toutefois participer de mobilités internes entre DPO et RSSI ce qui peut participer de l’attractivité et de la fidélisation de ce type de profil. »

Conflit d’intérêts ?

Il ajoute que le cumul des deux fonctions soulève cependant une question épineuse : « Avoir la gestion de ces deux périmètres peut générer un conflit d’intérêts majeur. Comme les DPO doivent notamment mener des analyses d’impact sur la vie privée, ils sont amenés à challenger un certain nombre de mesures de sécurité organisationnelles et techniques qui sont du ressort du CCO. Cela reviendrait à s’auto évaluer ».

À titre personnel, Fabrice Mattatia, membre du conseil d’administration de l’AFCDP, estime lui aussi problématique la fusion des deux périmètres : « Même si un DPO est censé avoir des notions de cybersécurité, ce n’est pas toujours le cas dans la pratique. Et même quand il les connaît, il n’est pas pour autant un expert. Il n’y aucune obligation de détenir un diplôme ou de suivre une formation pour être DPO. Seule la compétence compte. La manière dont le DPO démontre sa compétence n’est pas prévue par la loi. »

Autant de questions que Philippe Latombe a bien en tête : « Il y a des DPO qui ne sont pas à l’aise dans leur poste qui se limite à un pouvoir de prescription, le pouvoir de décision revenant au Comex. Est-ce qu’il faut créer un poste de CCO avec des attributions plus étendues que celle du DPO ? Cela fait partie des questions qui seront abordées par la Commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » Il compte sur les échanges durant les auditions pour cerner tous les avantages de cette solution.