La cybersécurité au conseil d’administration : comment le rôle de RSSI évolue pour une nouvelle ère
Un matin de 2015, Joseph Carson a commencé sa présentation au conseil d’administration d’une entreprise sur les raisons pour lesquelles sa division de cybersécurité méritait une augmentation de budget. L’entreprise, a expliqué Carson, était particulièrement vulnérable aux dangers des ransomwares et des attaques de la chaîne d’approvisionnement. Si ce projet n’obtenait pas le financement dont il avait besoin, les données de l’entreprise seraient exposées à de multiples violations, a-t-il déclaré, invitant le type d’examen public et juridique qui verrait son stock plonger et son public sans emploi.
Le conseil semblait convenablement effrayé. Le PDG et le directeur financier sont venus me voir et m’ont ensuite remercié, se souvient Carson. Ensuite, ils ont rejeté la demande de budget. C’est alors que j’ai réalisé que nous devions commencer à changer.
Sept ans plus tard, et il est plus difficile d’imaginer que cette même scène se produise dans n’importe quelle salle de réunion. Les cyberattaques sont courantes dans les grandes organisations et les administrateurs considèrent désormais la cybersécurité comme la deuxième source de risque, derrière la conformité réglementaire, selon une enquête de la société d’analyse Gartner.
Pourtant, l’expertise en cybersécurité fait défaut dans la plupart des conseils d’administration des entreprises. Seulement 12 % des responsables de la sécurité de l’information (CISO) interrogés l’année dernière par le cabinet de recrutement de cadres Heidrick & Struggles siègent au conseil d’administration de leur entreprise.
Cela pourrait être sur le point de changer. En mars, la Securities and Exchange Commission (SEC) des États-Unis a publié une proposition qui, si elle est approuvée, fera de la surveillance de la cybersécurité des entreprises une responsabilité légale du conseil d’administration. Au Royaume-Uni, entre-temps, le gouvernement a clairement indiqué son intention d’exiger des sociétés cotées qu’elles publient une «déclaration de résilience» contenant des informations spécifiques sur les risques de cybersécurité.
Cette prise de conscience croissante du risque de cybersécurité signifie que 40 % des conseils d’administration auront « un comité de cybersécurité dédié supervisé par un membre qualifié du conseil » d’ici 2025, a prédit Gartner, contre moins de 10 % en 2020. conseil d’administration pourrait bientôt être un phénomène plus courant.
Des questions subsistent cependant quant à la manière dont cela réussira dans la pratique. La cybersécurité, après tout, est une discipline profondément technique, et que beaucoup trouvent difficile à maîtriser. Mais avoir un CISO au conseil d’administration ne consiste pas seulement à enseigner aux dirigeants d’entreprise une chose ou deux sur l’hygiène de base en matière de sécurité, explique Carson, aujourd’hui scientifique en chef de la sécurité et conseiller CISO chez Delinea, spécialiste de la gestion des accès privilégiés (PAM).
Il s’agit plutôt de déclencher un changement culturel descendant dans l’entreprise vers une cybersécurité adaptative. De plus en plus, dit Carson, mon travail est [about] résilience de l’entreprise – et la cybersécurité est mon ensemble de compétences.
Contenu de nos partenaires
La cybersécurité est le problème de tous
De plus en plus d’entreprises sont d’accord. L’enquête de Gartner auprès des administrateurs a révélé que 88 % d’entre eux considèrent la cybersécurité non seulement comme un problème technique à résoudre pour les services informatiques, mais comme un risque fondamental pour le fonctionnement de leur entreprise. Ce n’est guère surprenant, compte tenu de l’histoire récente des hacks contre des entreprises privées. Une autre étude d’IBM sur le coût des violations de données d’entreprise a révélé que 83 % des entreprises interrogées ont subi une violation de données en 2021, pour un coût moyen de 4,35 millions de dollars – un record absolu pour un rapport qui dure depuis 17 années consécutives.
Veiller à ce que le RSSI ait un siège au conseil d’administration est un moyen de s’assurer qu’une entreprise maîtrise parfaitement la manière de gérer ces risques pour l’entreprise. Même ainsi, explique Andrew Rose, CISO résident de la société de sécurité Proofpoint, ils doivent faire preuve de prudence dans la manière dont ils communiquent leurs préoccupations. Le récit « le ciel tombe » peut être utilisé une ou deux fois, mais après cela, le tableau deviendra un peu insensible à tout cela, explique Rose.
Forcer les conseils d’administration à donner la priorité à la cybersécurité devrait plutôt se faire par une affirmation positive, soutient Carson – et, idéalement, être encadré par la façon dont le renforcement des défenses de l’entreprise l’aidera à mieux fonctionner à long terme. Vous devez leur montrer comment cela va aider l’entreprise réussisse, comment elle aidera les employés à mieux faire leur travail, apportera de la valeur aux actionnaires, [and] retourner un investissement, dit-il.
Au fil du temps, cela pourrait éloigner les RSSI du côté technique de la cybersécurité. C’est pour le mieux, explique Greg Crowley, RSSI de la société de sécurité eSentire. Ils ne doivent pas être considérés comme la personne en charge de l’application des correctifs, le propriétaire de tous les risques ou celui qui empêche une violation, déclare Crowley. Un CISO doit être considéré comme le leader et l’exécutif et, comme les autres cadres, doit travailler dans toute l’organisation.
Ce changement d’orientation dans le rôle a été si prononcé que, dans certaines entreprises, le CISO est devenu le «BISO», ou responsable de la sécurité des informations de l’entreprise. Ils sont plus en phase avec le langage des affaires, la structure de l’entreprise et la structure organisationnelle, en particulier du point de vue du conseil d’administration, déclare Carson.
Selon un récent rapport sur les menaces d’Oracle et de KPMG, plus d’un tiers des entreprises au niveau de l’entreprise ont adopté le BISO en tant que leader du secteur d’activité (LOB) chargé de collaborer avec le CISO et le CIO. Il y a également des signes que ces nominations commencent à avoir l’impact culturel descendant que la nomination d’un expert en cybersécurité au conseil d’administration est censée avoir, avec 53 % des organisations interrogées employant ou prévoyant d’employer un BISO pour travailler avec LOB. managers à intégrer la cybersécurité dans les processus métier.
Quelle sera son efficacité ?
Ceci est particulièrement important compte tenu de la crise actuelle du recrutement qui afflige le secteur informatique et du doublement des attaques de ransomwares contre les entreprises privées au cours de la seule année écoulée. Les demandes de rançon continuent également d’augmenter, explique un rapport de CyberEdge. Le pourcentage d’organisations cédant à la pression du paiement est également passé de 45 % en 2019 à un record de 63 % en 2022.
En tant que tel, il doit y avoir une compréhension de ce qu’une équipe informatique protège réellement. C’est une protection de la société [issue] plutôt que de simplement protéger les appareils, car nous commençons à utiliser ces appareils pour tout, dit Carson. Nous les utilisons pour la communication, pour la banque, pour le partage. C’est un mode de vie qui chevauche les affaires, et nous devons évaluer l’impact que cela a.
Idéalement, un CISO performant au niveau du conseil d’administration s’assurera non seulement que ce message est pris en compte par ses collègues cadres, mais également par chaque département de son entreprise.
C’est plus facile à dire qu’à faire. Alors qu’une organisation peut avoir besoin d’un conduit de cybersécurité pour assurer la sécurité à tous les niveaux, certains constatent qu’il existe peu de cadres en place pour soutenir adéquatement une telle innovation. Le rôle de BISO peut créer un environnement qui invite les fonctions de sécurité centralisées à contourner ou à prendre les BISO comme boucs émissaires, ce qui oblige les dirigeants à tout essayer pour montrer leur valeur, souvent en vain », a averti Mike Privette, CISO de transpotrt Passport, dans un récent article de blog. ,
Carson est d’accord. Malheureusement, parfois, le RSSI d’une organisation n’est pas nécessairement là pour apporter des changements, dit-il. Parfois, ils sont un bouc émissaire, parfois ils sont une case à cocher, dit-il.
Pour que les RSSI travaillent efficacement, ils doivent faire un zoom arrière et considérer la cybersécurité dans un contexte véritablement mondial, et travailler avec les gouvernements pour s’assurer que ce qu’ils font au sein de leurs entreprises profite au grand public. En bref, explique Carson, déclencher un changement culturel au sein de l’entreprise quant à la manière dont elle aborde la cybersécurité n’est que le début du travail du RSSI au niveau du conseil d’administration, car, en fin de compte, dit-il, « il ne s’agit pas seulement de mettre la sécurité en endroit pour protéger votre organisation ».
Tech Monitor organise une table ronde en association avec Intel vPro sur la manière d’intégrer la sécurité dans les opérations. Pour plus d’informations, visitez NSMG.live.