Nager maintenant ou sombrer plus tard : les dirigeants d’entreprise doivent prendre leurs responsabilités en matière de résilience et de cybersécurité
Pendant de nombreuses années, les dirigeants d’entreprise ont laissé la résilience des données et la cybersécurité entre les mains de leurs équipes de sécurité et informatique, car il s’agissait, selon eux, de sujets à confier à des « experts » ; une réflexion plutôt sensée. Cependant, puisque les entreprises sont de plus en plus dépendantes de la technologie et que les préoccupations sur les violations de données sont rapidement passées du statut d’éventualité à celui de certitude (on ne se dit plus « si cela arrive » mais plutôt « quand cela va arriver »)», la cybersécurité fait désormais partie intégrante du quotidien de chacun.
Les récentes réglementations en matière de cybersécurité (notamment la directive NIS2 et le règlement DORA) reflètent parfaitement cette situation, entérinant ainsi la responsabilité des entreprises dans leurs exigences réglementaires. Désormais, en cas de violation, ce n’est plus seulement le RSSI qui peut être tenu pour responsable, mais toute l’équipe dirigeante. Ses membres sont directement responsables de la gestion et de la formation aux mesures de cybersécurité et encourent également des sanctions en cas de non-conformité. Aujourd’hui, la plupart des entreprises prennent conscience que le simple fait de supposer que leurs équipes de sécurité et leurs fournisseurs tiers maîtrisent parfaitement la situation constitue désormais un risque concret. Si des lacunes apparaissent ou si les processus ne sont pas suffisamment encadrés, c’est la réputation de l’entreprise tout entière qui risque d’en pâtir. Les dirigeants n’ont donc pas d’autre choix que d’intervenir et de s’intéresser à ces processus de plus près.
Les dirigeants sous les feux des projecteurs
Naturellement, il ne faut pas s’attendre à ce que les dirigeants d’entreprises deviennent des experts en cybersécurité et en résilience du jour au lendemain. Pour beaucoup d’entre eux, c’est peut-être la première fois qu’ils s’interrogent vraiment sur leurs plans de résilience des données et de réponse aux incidents. Face à la montée en puissance des cyber menaces et au durcissement des réglementations, la direction doit non seulement accepter que les violations des données soient désormais inévitables, mais doit également prendre des mesures proactives pour renforcer les défenses de l’entreprise et assurer qu’elle respecte les réglementations en vigueur.
Dans le cadre de la réglementation sur la cybersécurité, en particulier de NIS2, les dirigeants se sont vu confier une nouvelle liste de responsabilités. Pour la première fois, ils doivent gérer activement et directement les risques de cybersécurité et la stratégie de sécurité de leur entreprise. Ils seront également responsables de la gestion et de l’atténuation des risques organisationnels, et devront mettre en place des mesures de signalement d’incidents. Par ailleurs, les dirigeants qui ne parviennent pas à se conformer aux lois en vigueur sont personnellement tenus pour responsables et s’exposent à des amendes pouvant atteindre la somme de 8,5 millions d’euros ou, dans le cas des plus grandes sociétés, 1,4 % de leur chiffre d’affaires annuel, le montant le plus élevé des deux étant retenu.
Face à cette pression, il est primordial que les dirigeants tiennent désormais compte de la résilience de leur entreprise et de leur préparation à la réponse aux incidents. Cela signifie qu’ils doivent non seulement investir dans des nouvelles mesures de sécurité et dans des formations dédiées, mais qu’ils doivent également responsabiliser les parties prenantes internes. Les réglementations telles que la directive NIS2 englobent les dirigeants d’entreprises, non pas parce qu’ils doivent être responsables de tout, mais parce qu’ils ont le pouvoir de s’assurer que tous les acteurs concernés assument leur part de responsabilité.
Ce processus de responsabilisation commence en interne, mais va souvent plus loin. Les dirigeants d’entreprise sont désireux d’étendre cette responsabilité en externe, c’est à dire à leurs partenaires et à leurs fournisseurs clés. Des partenaires de la chaîne d’approvisionnement aux fournisseurs de services informatiques et de sécurité, en passant par les fournisseurs de Backup as-a-Service (BaaS), les maillons essentiels de la chaîne de résilience et de récupération des données ne peuvent être ignorés.
Les fournisseurs tiers sont sur la sellette
Selon une enquête mondiale conduite par EY sur la gestion des risques liés aux tiers (Global Third-Party Risk Management Survey), 44 % des entreprises prévoient de développer leur collaboration avec des tiers au cours des cinq prochaines années. Si cette tendance se poursuit, les dirigeants devraient examiner leurs fournisseurs tiers de plus près, en se penchant sur chaque aspect de leurs mesures en matière de résilience de données et de réponse aux incidents. Auparavant, un simple accord ou une certification pouvait donner suffisamment confiance aux dirigeants. Cependant, la responsabilité de l’entreprise étant devenue un facteur incontournable, les fournisseurs tiers seront davantage sollicités à cet égard.
Cette situation peut revêtir plusieurs formes, de la renégociation des accords de niveau de service (SLA) à des enquêtes plus approfondies, alors que les dirigeants cherchent à sécuriser leur chaîne de possession de la résilience de leurs données et à étudier de près chaque étape du processus. S’il est impossible d’externaliser le risque et la responsabilité en faisant appel à des tiers, les dirigeants d’entreprise ont besoin que leurs fournisseurs tiers fassent preuve de transparence. Ainsi, en cas de violation, le point de défaillance peut être identifié et traité rapidement pour éviter toute sanction.
Plonger au cœur du problème
Si ces mesures renforceront certainement la résilience globale des données, il n’est pas possible d’éliminer totalement le risque de violation – et ce d’autant plus que certaines réglementations comme NIS2 et DORA ne l’exigent pas. Il s’agit plutôt d’atténuer les risques autant que possible et, surtout, d’être toujours prêt à intervenir en cas d’incident.
Enfin, quels que soient les accords de niveau de service, les processus et la technologie disponibles, il est impossible de les certifier sans les tester au préalable. Il s’agit de l’étape la plus importante pour pouvoir traiter et améliorer la résilience de l’entreprise. Les dirigeants doivent effectuer toutes les recherches nécessaires pour instaurer un climat de confiance dans leur chaîne de données par l’intermédiaire de leurs fournisseurs – à condition de mettre cette confiance à l’épreuve. Pour cela, il est nécessaire de conduire des tests cohérents et complets qui repoussent les limites des mesures de l’entreprise. Sachant qu’une violation peut survenir à tout moment, il est vital de tester ces mesures au pire moment possible, par exemple lorsque les équipes de sécurité sont occupées ou que certaines parties prenantes sont en congés.
La clé est d’appliquer des mesures concrètes, en passant de la théorie à la pratique. Après tout, pour apprendre à nager, il faut savoir se jeter à l’eau – et mieux vaut porter des brassards pour éviter de couler à pic.
Nager maintenant ou sombrer plus tard/Nager maintenant ou sombrer plus tard
Nager maintenant ou sombrer plus tard