Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Traduire le risque IT en risque financier, un impératif pour bien communiquer avec le conseil d’administration

mai 2022 par Damien Bénazet, Directeur Technical Account Management chez Tanium

Il ne passe plus une semaine sans que la presse ne relaie l’actualité d’une entreprise victime d’une cyberattaque et de pertes financières. Dans ce contexte, être en capacité de communiquer avec le board devient un impératif pour le RSSI. En effet, il doit être capable de traduire, c’est-à-dire d’expliquer l’impact potentiel du risque IT sur les résultats financiers de l’entreprise. Un effort de langage nécessaire quand il s’agit de se faire entendre du conseil d’administration. En quoi est-ce essentiel ? Et surtout, comment faire ? Décryptage.

Pour le RSSI, communiquer avec le board s’apparente à de la communication externe

Le conseil d’administration a un pied à la fois dans et hors de l’entreprise : il ne dispose généralement pas des compétences particulières en cybersécurité. C’est pour cela que le RSSI doit adapter son discours comme s’il s’agissait d’une communication externe. Car communiquer en tant que RSSI auprès du board, c’est également rendre compte aux actionnaires. Cet effort de traduction est nécessaire car il permet au RSSI d’asseoir sa crédibilité et d’établir un lien de confiance auprès des membres du conseil d’administration. C’est de cette manière qu’il pourra justifier les investissements qu’il souhaite réaliser, qu’il s’agisse de l’achat d’un outil, ou bien du recrutement de moyens humains.

Pour ce faire, le RSSI doit s’appuyer sur des données fiables, obtenues en temps réel et mesurables sur la totalité de son système d’information. Il faut également qu’il puisse disposer d’éléments de contextualisation par rapport au secteur économique de l’entreprise. En effet, un indicateur de risque n’aura pas la même importance d’un secteur d’activité à un autre. Par exemple, certaines entreprises du monde industriel sous-estiment le risque sur leur système d’information car elles mettent la priorité sur leur chaîne de production, alors qu’une entreprise du tertiaire y consacrera toute son attention. Toutefois, lorsque le RSSI évoque le risque auprès du board, il doit pouvoir s’appuyer sur des indicateurs business compréhensibles de tous.

Traduire le risque IT en impact financier

Les membres d’un board ont une approche globale du risque mais ne se soucient pas des implications précises comme un patch manquant sur un poste de travail ou un serveur. L’enjeu, pour le RSSI, est donc de réussir à traduire le risque cyber en impact opérationnel et financier, compréhensible par le conseil d’administration et par les actionnaires.

Les RSSI ont conscience de l’importance de la disponibilité des systèmes, à savoir la capacité à délivrer ou produire de la valeur quotidiennement. Assurer la disponibilité des systèmes est l’un des enjeux majeurs de la sécurité informatique, car ils permettent à l’entreprise d’accomplir le métier pour lequel elle existe. C’est sur cet axe qu’il faut communiquer : primordiale pour l’organisation, la disponibilité est compréhensible par toutes les équipes et encore plus au sein du conseil d’administration.

Pour être en état de communiquer efficacement avec le board, le RSSI doit également travailler avec les équipes métier, avec sa direction des risques internes, pour être capable de chiffrer et de traduire ce risque cyber en valeur monétaire. En informant le board sur le niveau de risque, en s’appuyant notamment sur cette notion de disponibilité, le RSSI doit continuer à guider les membres afin que les décisions visant à remédier à ces risques soient faciles à prendre. Aussi, il doit être capable de leur donner une bonne visibilité sur le niveau de risque. Le tout avec des données fiables, tangibles et un langage compréhensible.

Par exemple, quel serait le coût pour l’entreprise si une chaîne de production s’arrête pendant X heures car ses endpoints sont hors service suite à une vulnérabilité issue d’un patch manquant ? Cet effort de traduction est essentiel car seul l’impact sur le business importe pour les membres du conseil d’administration. Pour tout RSSI, parler dans un langage simple, contextualisé par rapport à son secteur est plus que jamais nécessaire. Sans cela, les entreprises continueront à subir des pertes financières qui auraient pu être évitées.




Voir les articles précédents

    

Voir les articles suivants