Le RSSI, catalyseur de la prise de conscience cyber des conseils d’administration

Attaques par rançongiciel, mise à l’arrêt de concurrents par des pirates informatiques, montée en puissance du travail hybride… Les membres des conseils d’administration ne peuvent désormais plus ignorer la réalité. Les risques cyber sont passés d’une « non-priorité business » à un sujet régulièrement débattu en « comex ».

Une étude du cabinet Gartner prévoit d’ailleurs que 40 % des conseils d’administration disposeront d’ici 2025 d’un comité en charge de la cybersécurité, ou d’au moins un de leurs membres chargé de la superviser. En attendant cette échéance, le RSSI semble le mieux placé pour aborder ces problématiques au sein des comex et autres instances décisionnelles.

Une perception du risque cyber encore très variée

Pour Antoine Bajolet, membre du Clusif et RSSI du groupe Henner, spécialiste de la protection sociale collective, la perception du niveau de menace de la part des conseils d’administration varie fortement d’une entreprise à l’autre.

« Les éléments déclencheurs de la prise de conscience peuvent être très variés. Il peut s’agir d’un incident de sécurité qui touche l’entreprise ou un de ses confrères, voire un fournisseur. Cela peut également provenir d’un exercice de crise ou de l’audit d’un commissaire aux comptes. Enfin, c’est parfois grâce à l’appétence d’un des membres du comex que les choses changent », déclare-t-il.

Pour Paul Bayle, Head of Security and Group Chief Security Officer chez Atos, les cadres dirigeants d’Atos sont très fortement sensibilisés à cette thématique, ainsi que ceux des entreprises clientes de l’entreprise de service numérique (ESN).

« Un changement radical s’est opéré depuis trois ans au sein des conseils d’administration, suite notamment aux attaques de ransomwares dont la presse a beaucoup parlé. Les entreprises ont vu leurs concurrents se faire attaquer. Cela s’est répercuté sur les budgets et la pression mise sur les équipes », note-t-il.

La nécessité d’un mandat clair pour le RSSI

Garant de la maîtrise du risque cyber dans l’entreprise, le RSSI a pour principale mission d’identifier, de gérer et de maintenir ce risque à un niveau résiduel accepté par son organisation.

Pour atteindre ses objectifs, il doit tout d’abord « comprendre les risques en jeu et bien connaître les différents actifs, ainsi que les besoins de l’entreprise. La compréhension de l’organisation à laquelle ils appartiennent est probablement le principal point commun de tous les RSSI », analyse Dalia Khader, RSSI de SwissLife Luxembourg.

Un avis que partage pleinement Paul Bayle : « Le RSSI se doit de bien comprendre son écosystème et celui de ses concurrents, afin de renforcer la politique sécurité de son entreprise. Il doit procéder à des analyses de risques rigoureuses et en déduire les impacts métiers ».

Mais la compréhension fine des différents enjeux de l’entreprise ne suffit pas. La culture de l’organisation joue également un rôle essentiel. « Le RSSI peut contribuer à l’amélioration de la situation, mais il ne peut pas la changer seul et la question doit être traitée avec l’implication de la direction. Personnellement, je n’ai pas rencontré d’expérience réussie dans la vie d’un RSSI sans que celui-ci ne décrive le soutien qu’il a reçu de la communauté dans son ensemble, laquelle est influencée par la direction générale », complète Dalia Khader.

RSSI : quelle participation au comex ?

La participation du RSSI au comex n’est pas systématique. Elle le devient si la cybersécurité est une activité stratégique de l’entreprise, au même titre que les enjeux RH, commerciaux ou financiers, ce qui peut être le cas pour un éditeur de logiciels de cybersécurité par exemple.

La plupart du temps, le sujet est abordé plusieurs fois par an, à des fréquences qui dépendent de l’entreprise et de son organisation. Le RSSI vient alors exposer aux membres du conseil d’administration ou du comex sa feuille de route sur tel ou tel aspect de sa stratégie.

Si l’entreprise est certifiée – ISO 27001 par exemple – la revue de direction annuelle devient alors un rendez-vous incontournable pour faire le point sur l’ensemble de la stratégie cyber mise en œuvre par le RSSI.

Pour Xavier Daspre, Manager Sales Engineering France chez Proofpoint, le RSSI doit intervenir chaque mois devant le comex, même brièvement. « Le RSSI n’a besoin que de 10 minutes pour retranscrire les principales tendances et les chiffres clés, comme les origines géographiques des attaques ou les personnes et directions visées. Cela lui permet d’établir des constats et d’anticiper les étapes d’après, tout en insistant sur les actions de sensibilisation organisées dans l’entreprise », note-t-il.

Quel que soit le rythme d’intervention du RSSI auprès des membres du conseil d’administration, une chose est sûre : le soutien de cet organe de direction doit être plein et entier, sans faille. Il ne s’agit pas, en matière de cybersécurité, de la responsabilité d’un seul homme ou d’une seule femme, mais bien de l’ensemble des collaborateurs et des dirigeants, ces derniers ayant un rôle d’exemple et de leadership à jouer.