Alors que les cyberattaques se sont multipliées ces deux dernières années, la plupart des directions générales semblent avoir pris la mesure de la menace. Elles commencent à donner au RSSI la place et l’importance qu’il mérite.

En novembre 2019, une cyberattaque paralyse la société Lise Charmel pendant un mois. L’ensemble de la chaîne de valeur, depuis la création jusqu’à la production, en passant par la logistique et les boutiques, est bloquée. Le rançongiciel à l’origine de cette paralysie fait mettre un genou à terre à l’entreprise lyonnaise spécialisée dans la lingerie féminine haut de gamme. En effet, quelques mois plus tard (février 2020), Lise Charmel se place en redressement judiciaire, afin de reconstruire son système d’information et relancer son activité dans les meilleures conditions. La durée de cette procédure sera de 18 mois.

Les attaques par ransomware sont aujourd’hui de plus en plus nombreuses. Selon un rapport de l’éditeur de solutions de sécurité informatique SonicWall, il y a eu plus d’attaques par rançongiciel au premier semestre 2021 que pendant toute l’année 2020, soit une hausse de 151 %. Selon une étude réalisée par NordLocker, éditeur d’un outil de chiffrement de fichiers sur le Cloud, la France a été le quatrième pays au monde le plus touché par ce type d’attaques en 2020 et 2021.

Et selon une autre étude, menée par la startup Anozr Way, spécialisée dans la lutte contre le piratage, ces attaques sont de plus en plus sophistiquées. Les pirates ne se contentent en effet plus de chiffrer les serveurs des entreprises ciblées, ils en extraient les données et les exploitent via ce qu’on appelle des attaques rebond. Selon le rapport, les données d’une entreprise peuvent servir à en attaquer 150 autres…

Une prise de conscience des directions générales qui s’accélère

Dans ce contexte, rares sont les dirigeants à n’avoir pas encore pris conscience de l’ampleur de la menace. Les deux dernières années ont à ce titre été déterminantes. Selon une étude réalisée par IDC France en partenariat avec le CESIN et le cabinet Eneid-Transition, « la SSI (Sécurité des SI) cantonnée à un rôle de direction technique, sans lien clair avec le Comex, semble bel et bien devoir prochainement appartenir au passé ». Une évolution logique compte-tenu des enjeux économiques associés aux risques en matière de cybersécurité.

L’élément le plus frappant attestant de cette évolution se situe dans le positionnement de la SSI au sein des organisations. Interrogés sur ce point par IDC, les responsables cybersécurité et DSI témoignent de la rapide mutation de leur organisation sur ce sujet. 57 % des répondants considèrent que la cybersécurité était vue il y a encore deux ans soit comme un centre de coûts, soit comme une direction technique. Aujourd’hui, cette part est descendue à 31 %. Et seulement 22 % des personnes interrogées considèrent que leur organisation sera encore dans cette configuration d’ici 24 mois.

« En décembre 2020, une attaque par rançongiciel s’est propagée d’un système périphérique au système central. Nous avons dû éteindre tout ce qui était connecté à ce dernier et avons été bloqués pendant six semaines. Pour la société, cet événement a constitué un gros traumatisme. Suite à cette attaque, nous nous sommes réorganisés. Auparavant, la cybersécurité dépendait uniquement du directeur informatique. Même s’il a fourni un travail exceptionnel durant la crise, cet épisode nous a montré que la cybersécurité était bien l’affaire de tous », témoigne Pierre-Louis François, président du directoire du Groupe Atlantic, spécialiste des appareils de production de chauffage, cité par IDC.

Ce genre de témoignage accélère la prise de conscience des dirigeants quant aux risques « cyber ». Cela se traduit par une participation de plus en plus régulière du RSSI au Comex de l’entreprise. Dans 68 % des cas, selon IDC, le RSSI est rattaché hiérarchiquement à la DSI (loin devant le rattachement à la direction des risques ou à la direction générale, qui représentent chacune 10 % des réponses). Via sa direction de rattachement, le RSSI est présent au Comex dans plus de 70 % des cas. Cela lui permet de faire passer ses messages de prévention au bon niveau hiérarchique.

L’autre évolution, que l’on peut associer à la multiplication des crises de cybersécurité, c’est la volonté d’anticiper. Dans plus de huit organisations sur dix, les répondants indiquent être totalement d’accord ou plutôt d’accord pour dire que le risque en cybersécurité est systématiquement pris en compte dans l’étude des risques par le comité de direction et la direction générale.

Quelle gouvernance mettre en place ?

Pour que la direction générale, le RSSI et le DSI communiquent de façon optimale, il existe différentes organisations possibles. Dans la deuxième édition de son guide intitulé « L’Essentiel de la sécurité numérique pour les dirigeants et les dirigeantes », l’association CEIDIG (Conseil de l’Économie et de l’Information du Digital) distille quelques recommandations aux équipes dirigeantes.

Selon le CEIDIG, les organisations efficaces en matière de cybersécurité ont toutes trois points communs :

  • La cybersécurité est gérée comme un élément transversal dans l’entreprise. Elle concerne tout le monde, tous les niveaux, depuis la conception d’un projet jusqu’à son exécution et la vente.
  • Mandat clair, proximité avec le Comex, liberté d’action : appliquer ces trois grands principes garantit l’efficacité de la mission du responsable de la sécurité. Sa parole aura une meilleure portée et le management conservera la main sur la politique de sécurité la plus adaptée à sa stratégie.
  • Une séparation des rôles : les collaborateurs en charge de contrôler la sécurité et les dispositifs ne sont pas ceux qui doivent exécuter leur mise en place.

Ce dernier point est crucial et pose la problématique du rattachement du RSSI au DSI. En étant hiérarchiquement rattaché à la DSI, le RSSI perd en marge de manœuvre et en liberté de parole. Si l’on prend une image empruntée à l’univers automobile, il ne peut être à la fois le contrôle technique et le garagiste…

C’est ce que souligne Stéphane Czernik, Directeur de la sécurité de l’information et RSSI adjoint du laboratoire pharmaceutique français IPSEN, dans un mini-guide sur les nouveaux challenges de la relation CIO-CISO publié par Alliancy.fr : « Ayant connu plusieurs configurations différentes dans mon parcours professionnel, mon ressenti est que cela peut mieux fonctionner lorsque le RSSI n’est pas dans le giron de l’IT, essentiellement pour des questions de liberté. […] L’indépendance du RSSI permet de remonter plus librement vis-à-vis de la DSI des sujets qui doivent être mis sur la table et discutés en toute transparence entre les deux ».

Des cyber-comex pour jouer la carte du collectif

Quel que soit le département de rattachement du RSSI, de nombreuses entreprises se rejoignent sur un point : la cybersécurité ne peut reposer sur les épaules d’un seul homme ou d’une seule femme. C’est la raison pour laquelle de plus en plus de « cybercomex » voient le jour.

« Mettre en place une gouvernance dédiée à la sécurité augmente considérablement la capacité à tout envisager. Quel niveau de risque est acceptable ? Quelle modification des processus est pertinente ? Quels investissements sont prioritaires ? Entouré d’un membre de la direction générale et de représentants métiers, la personne en charge de la sécurité prendra avec eux les décisions les plus adaptées. Ce cyber-comex se réunit sur son initiative, quand un sujet l’exige et, bien sûr, à fréquence régulière », peut-on lire dans le livre blanc du CEIDIG.

Le mot de la fin revient à Denis Mercier, DGA du groupe Fives, spécialisé dans l’ingénierie industrielle, cité par IDC : « Nous avons choisi de traiter le sujet de la sécurisation des projets innovants par une approche collective, via un sous-comité cybersécurité qui dépend du comité numérique. Cet organe implique des responsables des différentes divisions, y compris CortX (filiale servant de hub d’expertise pour les développements numériques à toutes les divisions du groupe), ainsi que la DSI. De mon point de vue, rien n’est pire qu’une démarche cybersécurité où tout repose sur une seule personne », conclut-il.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.