Lors de la réunion annuelle du Forum économique mondial qui s’est tenu la semaine dernière à Davos, les plus grands dirigeants du monde se sont engagés pour la cyberrésilience dans une action collective sur la cyberrésilience visant à promouvoir une approche unifiée contre l’augmentation des risques cyber. Cette action collective a été signée par de grandes entreprises mondiales telles que Shell et Petronas.
Mais malgré l’engagement d’une action collective, des recherches récentes ont révélé une fracture inquiétante entre les dirigeants et les RSSI. En effet, seulement 51% des RSSI dans le monde estimant que leur conseil d’administration est d’accord avec eux sur la question de la cybersécurité.
En réponse à cette annonce, un commentaire de Lucia Milicã, Global Resident CISO chez Proofpoint, qui soutient que les PDG et conseils d’administration se doivent d’apporter l’expertise en cybersécurité de leur RSSI directement au niveau du conseil d’administration et remédier à la rupture de communication avec les RSSI, si l’on veut qu’une approche unifiée du risque cyber soit réellement efficace :
« Il est encourageant de voir que la question de la cyberrésilience est prise au sérieux par les PDG et les conseils d’administration, et une approche plus unifiée pour répondre aux cyber risques est certainement une évolution positive. Cependant, pour que ce genre d’engagements et d’initiatives soient couronnés de succès, les dirigeants doivent s’attaquer aux problèmes fondamentaux qui entravent une réponse véritablement efficace.
Trop souvent, nous constatons une déconnexion frustrante entre les conseils d’administration et leurs responsables de la sécurité de l’information (RSSI), ce qui conduit à une hiérarchisation inefficace des cybermenaces et augmente les risques commerciaux. Notre étude récente a révélé que seulement 51 % des RSSI dans le monde pensent que leur conseil d’administration est d’accord avec eux sur la question de la cybersécurité.
Souvent, cela se résume à la communication. Les RSSI doivent rendre compte directement au PDG, et non au DSI, si l’on veut que la cybersécurité soit effectivement priorisée. Mais de même, les RSSI ont besoin d’une meilleure compréhension de la perspective commerciale du conseil d’administration afin que les deux parlent le même langage.
Pour faire face à la complexité des cybermenaces d’aujourd’hui, les organisations doivent apporter leur expertise en cybersécurité directement au niveau du conseil d’administration. La tendance est déjà claire. Par exemple, les conseils d’administration australiens doivent déjà superviser la cyberrésilience en vertu des réglementations de l’Australian Prudential Regulation Authority (APRA), et plus tôt cette année, la Securities and Exchange Commission des États-Unis a proposé une règle exigeant la divulgation de l’expertise du conseil d’administration en matière de cybersécurité et de surveillance des risques de cybersécurité pour toutes les sociétés cotées américaines.
S’il y a un point positif que nous pouvons tirer d’une année forte en incidents de cybersécurité qui ont fait les gros titres, c’est que les conseils d’administration du monde entier se soucient plus des cyber-risques d’aujourd’hui. A la suite d’une cyberattaque, la perspective de temps d’arrêt importants, d’opérations perturbées et d’impacts sur les évaluations des entreprises pèsent lourdement sur l’esprit du conseil d’administration. Nous espérons vivement qu’au cours des 12 prochains mois, nous verrons cette prise de conscience se transformer en action. »