La transformation de la cybersécurité commence en conseil d'administration
Six choses que le conseil d'administration veut que vous sachiez
Les discussions du conseil de direction autour de la cybersécurité ont évolué. Les membres des équipes de sécurité ne sont plus considérés comme de simples experts en technologie, mais comme les architectes de la résilience de l'entreprise contre les cybermenaces. Ce changement d'optique est lié à l'augmentation du nombre de cyberattaques, au contexte géopolitique et à la transformation numérique.
Les conseils d'administration souhaitent désormais des informations stratégiques de la part des responsables de la sécurité. Ils ne se contentent pas d'un simple rapport faisant état de l'installation d'un pare-feu ou de la conformité aux règlementations. Ils cherchent à comprendre comment les tactiques de cybersécurité s'inscrivent dans la stratégie de l'entreprise et jouent sur la valeur pour les actionnaires. Le dialogue est essentiel. Les administrateurs attendent des équipes de sécurité qu'elles associent le jargon de la cybersécurité au sens des affaires.
Alors, que souhaite savoir votre conseil de direction ? Quelles sont ses priorités ? Qu'attend-il de votre équipe ? Dans cet article, nous nous intéresserons aux priorités des conseils de direction en matière de cybersécurité, ainsi qu'à la manière dont les responsables de la sécurité peuvent communiquer efficacement avec eux.
1. Le cyber-risque est un risque commercial, point final.
Les conseils de direction considéraient autrefois la cybersécurité comme le domaine réservé d'équipes techniques situées dans des salles de serveurs lointaines. Le cyber-risque était alors une notion abstraite et impalpable. Ce n'est plus le cas. Il suffit d'observer les répliques qui ont suivi les méga-violations, comme celles qui ont frappé Equifax et Colonial Pipeline. Ces attaques ont paralysé ces entreprises jusque dans leur cœur même et leur ont infligé des dégâts considérables, qui ont redéfini le cyber-risque comme un danger observable et omniprésent.
Les nouvelles règles de divulgation des cyber-risques de la SEC mettent les bouchées doubles autour de cette menace. En rendant obligatoire la publication rapide des cyber-incidents majeurs et la divulgation annuelle des programmes de cybersécurité, la SEC met en évidence le cyber-risque. « Qu'une entreprise perde une usine dans un incendie ou des millions de fichiers dans un incident, l'incidence est importante pour les investisseurs, » déclare Gary Gensler, président de la SEC. Le conseil d'administration doit désormais être fortement impliqué dans l'évaluation des cyber-incidents, la divulgation des planifications et la validation des programmes de sécurité.
Tandis que le conseil prend la mesure de la gravité des cyber-risques, il n'est pas toujours très familier avec le langage ésotérique des menaces, des vecteurs et des contrôles. Cette lacune engendre des difficultés de communication stratégique. Les conseils d'administration ont besoin d'informations détaillées concernant les cyber-risques qui pèsent sur leurs résultats commerciaux et il leur faut des plans précis pour maîtriser ces risques.
C'est à nous les leaders de la sécurité qu'il revient de combler cette lacune, en agissant comme des interprètes pour former les conseils d'administration avec un langage commercial simple, et non un jargon technique. Nous devons contextualiser les menaces au sein des priorités des entreprises, telles que la confiance de la clientèle, la résilience du service et la position sur le marché.
Les nouvelles règles de la SEC confirment que le cyber-risque est indissociable du risque commercial. Nos rapports doivent tenir compte de cette nouvelle réalité. Les conseils d'administration sont en état d'alerte maximale, notre rôle est de leur éclairer la voie.
2. Le ROI en matière de cybersécurité : l'idée n'est pas uniquement financière, il s'agit également d'une question de bon sens
Ah, le casse-tête lié à la démonstration du retour sur investissement (ROI) en matière de cybersécurité ! Le conseil de direction est plus que jamais soucieux d'investir dans la sécurité, mais ne s'attend pas particulièrement à une rentabilité d'un pour un. Il lui importe davantage de savoir comment les investissements réalisés dans la sécurité peuvent se traduire en une architecture plus sûre et plus robuste pour l'entreprise.
Voici un exercice intéressant : ne vous contentez pas de présenter des chiffres lorsque vous préparerez la prochaine réunion du conseil. Expliquez les conséquences, racontez une histoire. L'idée ici n'est pas de raconter un conte de fées, mais de donner des exemples concrets de la manière dont les actions rapides de votre équipe ont permis d'éviter une cyber-catastrophe. Vous avez remplacé votre VPN par une solution d'accès réseau Zero Trust et déployé un tout nouveau système XDR ? Formidable. En quoi ces investissements ont-ils affecté votre capacité à protéger vos utilisateurs et à réduire le temps de réponse aux incidents ? Vous serez toujours tenu de présenter des chiffres, bien entendu, mais veillez bien à ce que ces chiffres racontent une histoire.
Bien sûr, les réussites ne sont pas toutes facilement quantifiables. Cependant, même pour des bénéfices intangibles tels que le renforcement de la réputation, nous pouvons associer des indicateurs de mesure qui donnent une idée de valeur. L'essentiel est de mettre en corrélation les programmes et les dépenses avec l'atténuation du risque qui influence directement les performances et l'état de santé de l'entreprise.
Dans ce contexte, la cybersécurité n'est plus un centre de coûts, mais une fonction stratégique qui permet de bâtir la résilience de l'entreprise. Les investissements judicieux permettent de démontrer à quel point la sécurité fait office de bouclier compétitif, en permettant à l'entreprise de prendre des risques avisés qui favoriseront sa croissance. C'est cette vision d'ensemble qui constitue le véritable ROI, celui dont les conseils de direction se soucient.
3. Les deux versants de l'intelligence artificielle : entre monde merveilleux et terrain miné
Lorsque nous étudions en détail la nébuleuse que constitue la cybersécurité moderne, force est de constater que l'intelligence artificielle y apparaît comme un éléphant dans un magasin de porcelaine. Plus nous intégrons l'intelligence artificielle générative à nos stratégies de cybersécurité, plus les membres du conseil de direction observent, prennent des notes et oui, haussent les sourcils.
Pourquoi sont-ils nerveux à propos de l'IA ? Prenons l'exemple des chatbots d'IA, un outil formidable pour l'automatisation du service client, mais que se passe-t-il lorsqu'ils deviennent des vecteurs de désinformation ou de fuites de données ? Le conseil d'administration souhaite avoir l'assurance de ce qu'une fois l'IA adoptée, les mesures de gouvernance, explications et dispositifs de sécurité adéquats auront été mis en place.
L'imbroglio éthique autour de la reconnaissance faciale, les problèmes de propriété intellectuelle liés à l'IA et la boîte de Pandore que constituent les deep fakes (hypertrucages) ne sont pas uniquement des thèmes dystopiques utilisés dans les séries que vous regardez en streaming. Ils sont bien réels et terriblement actuels. Et pour ajouter une couche à l'ensemble, nos conseils de direction ne se contentent pas d'observer passivement. Ce sont des cibles potentielles pour les cybermenaces générées par IA. Alors, comment pouvons-nous les protéger et nous assurer qu'ils ne deviennent pas un autre vecteur d'attaque ? Les membres du conseil de direction ne font pas que « discuter » de l'IA : ils posent des questions et cherchent à obtenir des informations. Les équipes de cybersécurité sont sous les feux de la rampe, car c'est à elles que revient la tâche d'apporter les réponses nécessaires.
4. La sécurité est une culture, pas un département
Dans les conseils d'administration, le discours autour de la sécurité évolue. Celle-ci y est de plus en plus envisagée comme une culture plutôt qu'un département.La devise « La sécurité relève de la responsabilité de tout le monde » est non seulement adoptée, mais élevée à un niveau stratégique.
Si par le passé, l'erreur humaine a toujours été le talon d'Achille de la sécurité, l'évolution actuelle du scénario pourrait à l'inverse faire de l'élément humain un véritable atout. La formation des collaborateurs ne répond plus à une simple obligation de mise en conformité ; il s'agit d'une arme stratégique.
Imaginez qu'un collaborateur bien formé parvienne à déjouer une tentative de phishing qui aurait pu coûter des millions à l'entreprise. Voilà une histoire que le conseil aurait envie d'entendre, n'est-ce pas ? L'élément humain n'est pas un bug, c'est une fonctionnalité. Cessons de blâmer les utilisateurs lorsqu'ils cliquent par inadvertance sur un lien malveillant. Amenez plutôt les collaborateurs à s'impliquer et à s'investir dans la cybersécurité et favorisez la création d'une culture qui ne cherche pas impérativement à trouver un responsable (en dehors des acteurs malveillants) au sein de votre entreprise. Équipez les utilisateurs de cyberprotections qui leur permettent de travailler en toute sécurité et d'être plus enclins à signaler toutes les activités qui leur semblent suspectes. N'oubliez pas non plus d'impliquer le conseil de direction dans votre culture de la sécurité. Idéalement, la culture de la sécurité doit ruisseler du conseil et remonter des actions quotidiennes.
5. L'échiquier est mondial : pourquoi les risques géopolitiques sont aussi les vôtres
Souvenez-vous de la violation survenue chez SolarWinds. Nous l'avons certes placée dans la catégorie des événements liés à la cybersécurité, mais ne s'agissait-il pas avant tout d'un chapitre au sein d'une saga géopolitique tentaculaire ? Votre conseil de direction est pleinement conscient du fait que le champ d'action de la cybersécurité s'étend bien au-delà des murs de l'entreprise. Elle fait désormais partie intégrante du paysage mondial.
Les dynamiques géopolitiques se sont officiellement invitées aux conversations autour de la cybersécurité et elles ont amené avec elle une galerie de personnages complexes : les problèmes liés aux menaces lancées par des États-nations, aux hacktivistes, à la souveraineté des données, à la confidentialité et à la conformité internationale. Souvenez-vous, il était coutume de penser que ces sujets étaient le casse-tête d'un autre, mais aujourd'hui ce sont également les vôtres. C'est d'ailleurs d'autant plus vrai si vous travaillez dans un secteur considéré comme une « infrastructure essentielle ».
Qu'implique ce constat concernant l'étendue de vos responsabilités ? Que vous êtes sur la même longueur d'onde que le conseil de direction. Lorsque le prochain conseil se tiendra, présentez quelques idées concernant la manière dont l'évolution des conditions géopolitiques pourrait influencer votre stratégie de cybersécurité. Les membres du conseil seront tout ouïe.
6. Votre équipe est une unité commerciale, pas un centre de coûts
Traditionnellement considérée comme un centre de coûts, la cybersécurité a évolué pour devenir une division opérationnelle qui contribue pleinement aux prises de décisions stratégiques. Cette évolution constitue le changement de paradigme le plus significatif de ces dernières années pour les équipes de sécurité. Votre conseil de direction en est conscient et souhaite que vous le reconnaissiez également.
Qu'est-ce que cela signifie quant à votre dialogue avec les membres du conseil ? Il ne s'agit pas uniquement de proposer un exposé sur les dernières statistiques en matière de détection des intrusions ou l'efficacité d'un pare-feu. Présentez-leur plutôt un tableau au sein duquel la cybersécurité s'impose comme la quille qui stabilise le navire de l'entreprise afin de lui permettre d'affronter des vents plus forts et des mers plus mouvementées. À ce sujet, je vous invite d'ailleurs à lire l'article suivant : « Market opportunities and business innovations—without capsizing » (Profiter des opportunités du marché et des innovations métier, sans chavirer).
Qu'est-ce qui vous empêche de devenir ce gourou de la stratégie qui intègre à la perfection les considérations de sécurité dans ce qui fait l'ADN-même de votre modèle commercial ? Rien, si ce n'est des habitudes anciennes et une vision dépassée. Considérez cela comme un appel à l'action. Lors du prochain conseil d'administration, il ne devra pas être question de mise à jour mais de véritable révélation. Cette étape est pour vous une opportunité de passer du rôle de gardien à celui de guide, de portier à éclaireur. Soyez prêt au changement d'orientation.
Une nouvelle ère pour les dialogues en salle de réunion
Y sommes-nous prêts ? Sommes-nous disposés à passer du « Département du NON » au catalyseur grâce auquel l'entreprise proclamera un « Oui » stratégique ?
Pour citer William Gibson : « Le futur est déjà là — il n'est simplement pas réparti équitablement. » Il est temps pour nous de prodiguer plus largement nos connaissances sur la cybersécurité au sein de l'entreprise, à commencer par le conseil de direction. La prochaine fois que vous entendrez le mot « réunion du conseil », ne vous imaginez donc pas en simple observateur, mais plutôt comme un acteur disposant d'un rôle stratégique à jouer pour façonner l'avenir de l'entreprise.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Découvrez comment un cloud de connectivité vous permet d'avoir des conversations plus stratégiques avec votre conseil d'administration en vous aidant d'abord à reprendre le contrôle de l'informatique dans l'e-book Le cloud de connectivité.
Auteur
John Engates
Ancien directeur technique sur site (Field CTO), Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Le changement de paradigme de la sécurité qui ne relève plus d'un seul département mais de la culture globale de l'entreprise
Comment élever le niveau des discussions autour de la sécurité au sein du conseil d'administration
Il est plus important d'expliquer l'incidence que de présenter des chiffres