
Tous connectés, tous impliqués, tous responsables
Articles du même auteur :
3
4
La cyber sécurité est l’affaire de tous !
En matière de cyber sécurité, il est essentiel que chacun assume ses responsabilités : le Conseil d’administration, les dirigeants, la DSI, le RSSI, mais aussi les métiers, les fonctions, les employés, l’entreprise étendue (fournisseurs, sous-traitants, prestataires informatiques), sans oublier l’Etat (infrastructures, éducation, investigations, standards, certifications, règlementations).
Le directeur de cyber sécurité est un maillon essentiel du dispositif, mais son efficacité et sa performance dépendent de l’organisation dans son ensemble, et de son interaction avec les principaux acteurs de l’entreprise, en interne et en externe.
Il est l’interlocuteur du Comex, du Conseil d’administration, parfois via le comité d’audit et des risques, et l’informe sur l’exposition de l’entreprise aux risques, les incidents et les dispositifs à mettre en place.
Pour garantir leur indépendance, les Directeurs de cyber sécurité sont souvent rattachés, selon les structures, au Secrétaire Général, au Directeur de la sureté, au Directeur des risques, ou au Directeur Général, et non au DSI, en charge de la transformation numérique.
Il est essentiel qu’il soit bien informé des projets, et impliqué par les directions opérationnelles et fonctionnelles (par exemple les Achats, les fusions/acquisitions), pour pouvoir amener une vision transversale et 360°, ajuster les stratégies et plans d’action, après avoir mesuré l’efficacité des dispositifs.
Il s’appuie sur une chaine de RSSI au sein de l’entreprise (branches, filiales), établit la politique de sécurité applicable dans le groupe, la diffuse, et s’assure qu’elle est appliquée en lien avec la direction de l’audit interne.
Le maillon fort est l’humain, qui peut être également le maillon faible : tous doivent être formés, du haut en bas, et de bas en haut !
Certaines entreprises ont intégré le directeur de la cyber sécurité au comité exécutif, comme d’autres entreprises ont créé un comité numérique au conseil d’administration.
Son périmètre est large, puisqu’il s’occupe de l’ensemble des systèmes d’information : industriels, gestion, commerciaux, mais également de la protection des sites, et de l’entreprise étendue : fournisseurs, sous-traitants, prestataires, filiales dans l’ensemble des pays où le groupe a déployé des activités (les PME qui n’échappent pas à la numérisation et n’ont pas toujours les moyens suffisants, pour assurer la sécurité de leurs opérations : il y a des « cyber morts » parmi les entreprises.
Trouver des partenaires de confiance, assurer la résilience de l’entreprise avec des ressources et des budgets limités, protéger des données stratégiques et personnelles sont les défis des responsables de la cyber sécurité, dans un contexte de réduction de coûts, d’automatisation et d’optimisation. Ses missions sont multiples, et s’inscrivent dans l’objectif de développer et maintenir la confiance numérique que les parties prenantes (clients, fournisseurs, employés, actionnaires, partenaires…) accordent à l’entreprise, ses produits et ses services.
Marie de Fréminville