Le RSSI n'est plus le seul responsable de la cybersécurité en entreprise

Avec les nouveaux cadres réglementaires, la cybersécurité n'est plus une responsabilité réservée aux équipes en charge de la cybersécurité mais incombe aussi aux dirigeants.

Le RSSI n’est, à l’heure actuelle, plus le seul à porter la responsabilité en matière de cybersécurité et de résilience des données : cette dernière a été remise sur le devant de la scène par les nouvelles directives européennes comme NIS2 ou DORA, et incombe à présent à l’équipe de direction au complet. Il faut donc opérer une politique de sensibilisation collective aux cybermenaces à destination des conseils d’administration pour anticiper toute situation où ils seraient appelés à répondre d’un incident de cybersécurité, voire sanctionnés à échelle individuelle pour cause de non-conformité.

Or, il est encore trop rare de voir ce type d’approche de sensibilisation à la responsabilité des entreprises mise en place, avec une certaine lenteur de réaction de la part des dirigeants d’entreprise. En toute logique, il convient de consolider les réponses possibles à un problème en plus de préparer la sensibilisation. Les objectifs de mise en conformité aux nouvelles lois ont nécessité d’utiliser des budgets normalement consacrés à d’autres types de projets pour la grande majorité des entreprises européennes. Les dirigeants peinent à rattraper leur retard et à opérer des changements concrets malgré l’urgence croissante de la situation.

Réévaluer les objectifs principaux

La responsabilité des entreprises en matière de cybersécurité est entrée dans une nouvelle ère avec l’entrée en vigueur de textes comme NIS2 et DORA. Face à la numérisation des métiers depuis une vingtaine d’années, le volume des données a connu une courbe exponentielle d’augmentation, et doit à présent être géré et protégé par les entreprises. Il est indispensable que la cybersécurité, , enjeu désormais vital pour les entreprises, doit tomber sous le prisme de responsabilité des équipes de direction.

Jusqu’à présent, cybersécurité et résilience étaient des priorités de second plan, que les entreprises réservaient entièrement aux équipes de sécurité, car il était très difficile d’en évaluer la valeur commerciale. Faire preuve de plus de résilience et être capable de se remettre plus rapidement d’une cyberattaque permettra de minimiser les dégâts encourus par les entreprises, notamment en termes de cours des actions, de chiffre d’affaires et de confiance des clients. Ces avantages à long terme devraient aider à affiner les objectifs prioritaires des entreprises, grâce à une meilleure information transmise aux dirigeants d’entreprise via ces réglementations, et grâce à la crainte d’une non-conformité et ses conséquences.

L’implication des dirigeants envers la responsabilité d’entreprise s’est certes améliorée mais reste encore trop faible. Des budgets normalement dédiés à d’autres missions ont été utilisés pour la conformité avec la directive NIS2, palliant notamment l’absence de stratégie commune des dirigeants pour respecter les nouvelles réglementations. La courbe d’apprentissage que doivent suivre de nombreux dirigeants d’entreprise est en effet conséquente. Pour bien réussir à comprendre les enjeux complexes de cybersécurité, ils doivent s’investir pleinement dans le sujet.

Prendre acte des enjeux et agir

Dans cette démarche de compréhension des nouvelles responsabilités qui leur incombent, la première étape pour les dirigeants est de tester la fiabilité des plans de réponse aux incidents de leur organisation. La conformité ne doit pas être une simple case à cocher, comme le rappellent les réglementations. Les plans de réponse aux incidents doivent être capables de fonctionner en conditions réelles, et pour cela être testés par des scénarios cohérents et rigoureux, qui ne sont pas des formules à mémoriser et réciter par cœur : il s’agit de pouvoir les appliquer de façon appropriée selon la situation. 

On n’attend pas des dirigeants qu’ils développent une expertise parfaite de la cybersécurité en l’espace de quelques jours non plus, mais plutôt qu’ils aient une bonne connaissance de leurs plans de réponse aux incidents. En d’autres termes, il faut surtout qu’ils sachent que le système de sécurité fonctionne et qu’ils connaissent les personnes chargées de l’entretien du système, pour pouvoir, si besoin, se tourner vers eux et leur demander si toutes les mesures de précaution et de prévention ont été appliquées en amont.

En cybersécurité, les plans de réponse aux incidents suivent une philosophie similaire et la conformité aux lois NIS2 et DORA dépend de leur robustesse : c’est précisément là que les dirigeants doivent concentrer leurs efforts, au niveau de la compréhension pratique des plans, afin d’être capables d’identifier et de corriger les faiblesses de l’entreprise, qu’il s’agisse de mettre en place de nouveaux processus ou d’intégrer de nouvelles compétences externes dans leurs effectifs.

Consolider les perspectives futures

En tenant compte des exigences de cohérence de la conformité et de tests fréquents effectués sur des scénarios de simulation de crise, les plans de réponse aux incidents doivent suivre le rythme d’évolution des vulnérabilité et des surfaces d’attaque. Dans ce cas, les dirigeants ont le loisir de construire une culture de la sécurité et de la résilience des données singulière à leur entreprise, tout en respectant les réglementations.

Une conformité parfaite aux exigences réglementaires ne signifie pas pour autant une protection totale ; il est nécessaire de s’appuyer aussi sur la résilience des données et sur des outils de protection comme les sauvegardes, pour assurer aux dirigeants de se remettre d’une cyberattaque, peu importe leur niveau de conformité.