Cybersécurité : les RSSI doivent adapter leur langage au conseil d’administration. L’Agence nationale de la sécurité des systèmes d’information a observé une hausse de 30% des attaques par ransomware au cours de l’année écoulée[1], ainsi que la recrudescence d’attaques par déni de service et à des fins d’espionnage. Les risques qui pèsent sur la France avec les Jeux Olympiques de Paris n’ont jamais été aussi élevés. On ne peut que se réjouir de voir le gouvernement écouter les spécialistes et se saisir du sujet, notamment à travers le programme « France 2030 » et la stratégie d’accélération « Cybersécurité ». Et espérer qu’au sein des conseils d’administrations, les dirigeants écoutent à nouveau vraiment leurs RSSI.

La montée en puissance des cyber menaces

Au cours des cinq dernières années, le nombre de menaces bloquées, tout environnement confondu, a doublé ! Les efforts engagés par les entreprises pour leur transformation numérique créent, involontairement, une surface d’attaque plus importante pour les cybercriminels. Résultat ? Plus de la moitié des entreprises ont subi une faille de sécurité au cours de l’année écoulée[2] et les paiements de crypto ransomwares n’ont jamais été aussi élevés qu’en 2023 avec plus d’un milliard de dollars versés[3].

Face à de la montée en flèche des cyber menaces, et des risques associés, de nombreuses règlementations ont été introduites, telles que la SEC aux Etats-Unis, ou encore DORA et NIS 2 en Europe. Elles exigent de la part des conseils d’administration de plus grandes responsabilités en matière de cybersécurité.

Construire une culture de résilience

Aujourd’hui, le langage utilisé par les directions IT est souvent assimilé à un jargon technique par les membres des Comités de Direction (CODIR). Par méconnaissance, ils peuvent se voir reprochés d’être trop souvent répétitifs, voire pessimistes. Pour rétablir un équilibre, il est donc crucial de trouver un langage commun qui permettra notamment de renforcer la relation de confiance entre ces deux mondes.

En présentant une cartographie du cyberrisque simple, concise et claire ainsi que des indicateurs explicites aux membres du CODIR, la discussion dédiée à la gestion des risques, portée par les RSSI, sera beaucoup plus fluide. La synergie d’équipe qui en résultera sera plus importante et participera à améliorer l’efficacité, réduire les risques de sécurité et assurera une meilleure gestion des ressources. Face à un tel constat, on semble encore bien loin de la prédiction de Gartner de 40% de conseils d’administration doté d’un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil d’administration d’ici 2025[4].
*responsable de la sécurité des systèmes d’information, l’expert qui garantit la sécurité, la disponibilité et l’intégrité du système d’information et des données d’une entreprise
Cybersécurité, les RSSI doivent adapter leur langage aux conseils d’administration

[1] https://cyber.gouv.fr/le-panorama-de-la-cybermenace
2 https://www.trendmicro.com/explore/thecisocredibilitygap/2608-tl-en-rp
3 https://www.chainalysis.com/blog/ransomware-2024/
4 https://www.gartner.com/en/articles/the-top-8-cybersecurity-predictions-for-2021-2022[1] https://cyber.gouv.fr/le-panorama-de-la-cybermenace
[2] https://www.trendmicro.com/explore/thecisocredibilitygap/2608-tl-en-rpt
[3] https://www.chainalysis.com/blog/ransomware-2024/
[4] https://www.gartner.com/en/articles/the-top-8-cybersecurity-predictions-for-2021-2022
Cybersécurité : les RSSI doivent adapter leur langage au conseil d’administration
Cybersécurité les RSSI doivent adapter leur langage au conseil d’administration Depositphotos_AndreyPopow