Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité & COMEX : comment convaincre et instaurer une relation de confiance

octobre 2018 par Emmanuelle Lamandé

Les Comités Exécutifs (COMEX) sont aujourd’hui mobilisés sur la cybersécurité. Sensibiliser n’est plus suffisant, ils sont en attente de résultats ! Et la recette du succès n’est pas systématique. Quelles sont les clés pour progresser et garder l’attention ? Comment convaincre le top management et déclencher les investissements ? Quelle structure pour son programme de cybersécurité et son suivi ? Comment établir une relation de confiance entre RSSI et COMEX ? Gérôme Billois, Partner, et Matthieu Garin, Senior Manager - Wavestone, sont venus partager leurs retours d’expériences en la matière à l’occasion des Assises de la Sécurité.

Le sujet de la cybersécurité est aujourd’hui identifié comme un élément clé au sein de la majorité des organisations, notamment poussé par les réglementations, la responsabilité des dirigeants, l’impact financier ou sur l’image de marque… Toutefois, les problématiques inhérentes à la cybersécurité restent encore assez floues pour bon nombre de COMEX, et les RSSI ont souvent du mal à se faire entendre, et surtout comprendre. Cette quête peut d’ailleurs parfois s’apparenter, comme le soulignent nos experts, à gravir le mont Everest. Preuve à l’appui, 25% des clients de Wavestone n’ont tout bonnement jamais encore rencontrer leur COMEX.

Gérôme Billois et Matthieu Garin nous expliquent de quelle manière attirer l’attention de son COMEX et la garder sur le long terme, mais aussi comment établir une relation de confiance entre RSSI et Comités Exécutifs.

Base camp #1 : initiation et acculturation de votre COMEX à la cybersécurité

Pour ce faire, les équipes en charge de la cybersécurité doivent venir leur expliquer, dans un premier temps, les enjeux et les défis inhérents à ces problématiques. L’utilisation de métaphores aide souvent à faire passer les messages clés. L’objectif sera également de leur expliquer pourquoi certains acteurs pourraient les attaquer et de quelles manières.
Toutefois, afin d’éviter que cette initiation ne se résume à une simple réunion et que le COMEX souhaite vous revoir, les RSSI doivent aussi arriver avec leurs priorités, leur plan stratégique d’évolution, ainsi que différentes metrics relatives aux budgets, ressources, objectifs…

Parmi les exemples de metrics, on peut citer le nombre moyen d’employés « sécurité » par entreprise. Au vu des retours d’expériences effectués chez ses clients, Wavestone constate en moyenne 1 employé sécurité pour 900 employés. Ce chiffre s’élève même à 1 employé sécurité pour 5 000 employés au sein des entreprises les moins matures. Il est de 1 pour 200 environ dans les structures les plus matures (banques…).
Autre exemple de metrics, le budget : en moyenne, Wavestone observe chez ses clients que 5,6% du budget IT est consacré à la sécurité (ce budget oscille de 1% à 13% selon les structures).

L’objectif de cette première étape est que le COMEX comprenne les enjeux, les priorités pour son organisation et le plan d’action mis en œuvre par l’équipe sécurité. Si le board souhaite vous revoir, c’est déjà une bonne nouvelle, cela signifie que le dialogue est établi et que les actions s’installent dans la durée. Cela permettra, de plus, de passer à la seconde étape.

Base camp #2 : Audit à 360°C

Durant cette deuxième étape, les RSSI auront un certain nombre de messages à faire passer à leurs COMEX, comme par exemple :
- Le niveau de résistance de l’entreprise par rapport aux menaces et attaques les plus connues, telles que Wannacry, NotPetya… L’objectif est ici de concrétiser les choses, mais aussi de faire le lien avec le camp de base n°1 ;
- « Benchmark view » : il s’agit ici du niveau de maturité de son entreprise par rapport aux autres organisations évoluant dans le même secteur d’activité.

Attention toutefois, certaines réactions du COMEX peuvent parfois s’avérer hostiles, voire agressives… Heureusement, la plupart des réactions s’anticipent. Pour y faire face, les RSSI doivent venir « armés », c’est-à-dire équipés d’un certain nombre d’outils qui viendront appuyer leurs propos. Tout d’abord, ils doivent être en mesure de fournir aux COMEX des preuves de ce qu’ils avancent, leur démontrer par exemple les exploits en vidéos d’équipes Red Team ou autres, ayant réussi à s’introduire dans leurs locaux et/ou à compromettre leurs infrastructures et systèmes.

Dans leurs démarches, les équipes sécurité pourront également s’appuyer sur un référentiel reconnu afin de gagner en crédibilité auprès du COMEX. Différents types de frameworks ont aujourd’hui pignon sur rue dans le domaine de la sécurité et sont mondialement reconnus, comme ISO, NIST ou CIS. Chacun d’entre eux a ses avantages et ses inconvénients. Comme l’expliquent nos experts, le référentiel ultime n’existe pas, c’est pourquoi ils préconisent à chaque entreprise de créer son propre framework. Wavestone accompagne d’ailleurs dorénavant les entreprises dans cette démarche. Pour ce faire, les équipes de Wavestone prennent comme base le référentiel NIST, qu’elles adaptent ensuite en fonction des contextes, secteurs d’activité et besoins des entreprises.

L’objectif est également d’avoir préparé un budget et une roadmap. Du côté de l’industrie, le budget à viser oscille entre 30 et 80 millions d’euros sur une période de 3 ans. Pour les services financiers, celui-ci est estimé entre 300 et 700 millions d’euros sur 3 ans.

En outre, pour assurer la cyber-résilience de l’entreprise, il faut également leur faire comprendre l’importance d’ajouter la sphère cyber au processus de gestion de crise, mais aussi mettre en relation le board avec certains régulateurs, comme par exemple la CNIL, l’ANSSI… Il est de plus essentiel de présenter le CERT au COMEX.
Enfin, il est indispensable que chaque entreprise dispose d’un plan de secours et d’une équipe (interne ou externe à l’organisation) prête à intervenir en cas d’incident et à gérer la crise.

Base camp #3 : « Program management »

Une fois que les équipes sécurité auront récupéré leurs budgets, elles vont pouvoir mettre en place un véritable programme de management dédié. Toutefois, la question du budget reste souvent un sujet épineux avec le COMEX dans le temps, qui nécessite donc certains points de vigilance. En effet, si vous ne dépensez pas assez, vous courez le risque que votre comité exécutif revoit votre budget à la baisse. Dans d’autres cas, votre COMEX pourra vous reprocher d’avoir tout dépenser sans pour autant voir d’effets concrets…

Pour éviter ce genre de désagréments, Gérôme Billois et Matthieu Garin recommandent aux RSSI de rester focalisés sur leurs frameworks, avec des objectifs très clairs et mesurables. La première étape consistera notamment à amener tout le monde sur le même niveau de sécurité et d’être en mesure d’assurer la remédiation de son organisation, quel que soit le contexte.
Les équipes pourront également, dans leurs démarches, s’appuyer sur un kit de management budgétaire, qui présentera sur le long terme les cibles d’investissements, ainsi que les impacts des projets sécurité sur le business de l’entreprise…

Ce programme de management nécessitera, outre l’équipe qui en aura la charge, d’un directeur qui assurera sa gouvernance et reportera au board. Pour nos experts, mieux vaut que ce directeur de programme soit extérieur à l’équipe de RSSI. Il est également essentiel de maintenir, selon eux, un contact régulier avec le COMEX, tous les 3 à 6 mois en moyenne.

Base camp #4 : Ensuite, place à l’évolution et au changement de posture

Cette évolution passera notamment par la :
- Quantification des risques : quelle est la probabilité de se faire attaquer et combien cela pourrait coûter à l’entreprise ?
- Et la création de nouveaux business grâce à la cybersécurité : il peut s’agir par exemple pour l’entreprise d’asseoir son image, ses valeurs et son business en mettant en avant ses différentes certifications et la sécurité des données de ses clients, de répondre à de nouveaux appels d’offres par ce biais, ou encore de créer de nouvelles offres avec la cybersécurité comme valeur ajoutée…

N’oubliez pas enfin que cette démarche, si elle se veut vertueuse, repose avant tout sur un travail d’équipe, nécessitant confiance et collaboration entre tous les acteurs de la chaîne !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants