Des événements comme le récent massacre Attaque de ransomware CDK – qui a entraîné la fermeture des concessionnaires automobiles à travers les États-Unis fin juin 2024 – ne suscite presque plus l’intérêt du public.
Pourtant, les entreprises et les personnes qui les dirigent sont légitimement nerveuses. Tous les RSSI savent que la cybersécurité est un sujet de plus en plus brûlant pour les dirigeants et les membres du conseil d’administration. Et lorsque l’inévitable briefing RSSI/Conseil d’administration arrive, tout le monde veut des réponses : Sommes-nous à l’abri des attaques ? Avons-nous fait des progrès ? Que nous arriverait-il ?
Ce sont toutes des préoccupations légitimes.
La question est de savoir comment y répondre au mieux. Le conseil d’administration d’une entreprise mérite des informations claires et concises liées aux objectifs de l’entreprise, et non des détails techniques sur les correctifs ou les méthodes d’attaque. Un manque de communication entre le RSSI et le conseil d’administration peut entraîner des malentendus, une augmentation des risques et des cyberattaques potentiellement dévastatrices. C’est pourquoi l’un des principaux défis des RSSI demeure aujourd’hui : comment présenter les risques de manière à ce que le conseil d’administration puisse les comprendre et les exploiter pour prendre des décisions éclairées ?
Découvrez le nouvel eBook de XM CyberGuide du RSSI pour signaler les risques au conseil d’administration. Il regorge de stratégies et de conseils pour vous aider à enfin répondre aux questions du conseil d’administration sur les risques avec confiance et précision. En établissant un plan pour une communication claire et des progrès mesurables, les RSSI peuvent enfin instaurer la confiance au sein du conseil d’administration et sécuriser les ressources nécessaires pour gérer efficacement les cyber-risques.
Les chiffres parlent
Malgré ce besoin clair et pressant de communication, une étude récente menée par Heidrick et Struggles, leader dans le domaine de la recherche de cadres et du conseil en culture d’entreprise, a révélé un fossé inquiétant entre les RSSI et les PDG. 5 % des RSSI sont directement rattachés au PDGce qui indique un manque potentiel d’influence de haut niveau, et 2/3 des RSSI se situent à deux niveaux en dessous du PDG dans la structure hiérarchique.
Cela signifie que la majorité des responsables de la cybersécurité restent à distance des prises de décision organisationnelles. L’étude du Ponemon Institute a également révélé que seulement 37 % des organisations pensent utiliser efficacement l’expertise de leur RSSI. Étude de Gartner met en évidence une tendance similaire : seulement 10 % des conseils d’administration disposent actuellement d’un comité dédié à la cybersécurité supervisé par un membre du conseil.
Ces chiffres révèlent des faiblesses importantes dans la manière dont les organisations structurent leurs rapports et dont les conseils d’administration reçoivent les informations. Malgré un rôle plus direct des RSSI, la traduction des risques en termes opérationnels clairs reste un défi.
Questions
En tant que RSSI, vous poser ces cinq questions clés peut vous aider à combler le fossé de communication entre le conseil d’administration et la direction, à présenter une image claire de la posture de cybersécurité et à obtenir le soutien nécessaire pour gérer efficacement les risques :
1. Comment justifier mon budget de cybersécurité ?
Les RSSI savent qu’une cybersécurité solide nécessite un investissement continu. Sans justification claire, vos demandes budgétaires risquent d’être réduites ou carrément rejetées. Prouvez donc que vos objectifs sont non seulement réalisables, mais qu’ils en valent la peine en démontrant le retour sur investissement en matière de cybersécurité. Montrez aux sceptiques qu’en garantissant des ressources pour protéger les données et l’infrastructure critiques, vous protégez en fin de compte la santé financière de l’organisation.
2. Comment maîtriser l’art du reporting des risques ?
La maîtrise des rapports sur les risques est essentielle si vous souhaitez modifier la perception de la cybersécurité par les dirigeants. Les publics non techniques sont confrontés à des menaces de sécurité complexes. C’est pourquoi vos rapports doivent être clairs et basés sur des données. Ils doivent quantifier les risques en termes commerciaux, en mettant en évidence les pertes financières potentielles dues aux violations. De cette façon, vous démontrez la valeur des investissements en sécurité pour protéger le bien-être financier de l’organisation, faisant passer la cybersécurité d’un centre de coûts à un catalyseur commercial.
3. Comment célébrer les réalisations en matière de sécurité ?
Ne vous concentrez pas uniquement sur les problèmes : il est essentiel de célébrer les victoires en matière de sécurité. Reconnaître les succès de votre équipe renforce le moral de l’organisation, favorise une culture de sensibilisation à la sécurité et souligne la valeur des investissements en cybersécurité. La reconnaissance publique des attaques qui ont été déjouées peut à la fois dissuader les attaquants et rassurer les parties prenantes quant à l’engagement de l’organisation en matière de protection des données.
4. Comment puis-je mieux collaborer avec d’autres équipes ?
Les RSSI efficaces comprennent que la cybersécurité n’est pas une entreprise individuelle. Une sécurité renforcée repose sur un engagement de vigilance à l’échelle de l’entreprise. C’est pourquoi la collaboration avec d’autres services tels que l’informatique, les ressources humaines et le service juridique est essentielle. En travaillant ensemble, les RSSI peuvent intégrer la formation à la sensibilisation à la sécurité dans les programmes d’intégration et de développement des employés. De plus, vos efforts de collaboration peuvent conduire à des politiques de sécurité plus claires, alignées sur les processus métier. Et la collaboration renforce les protocoles de réponse aux incidents, garantissant une réponse rapide et coordonnée aux failles de sécurité.
5. Comment puis-je me concentrer sur ce qui compte le plus ?
Les RSSI sont bombardés de menaces et de tâches. La priorisation est essentielle. Se concentrer sur ce qui compte vraiment garantit que les ressources sont utilisées efficacement. Cela signifie identifier les risques de sécurité les plus critiques, les aligner sur les objectifs commerciaux de votre organisation et les traiter de manière stratégique. En refusant les distractions et en vous concentrant sur les initiatives à fort impact, vous pouvez optimiser la posture de sécurité et maximiser la résilience globale de votre organisation.
Combler le fossé : une communication efficace pour les RSSI
La vague croissante de cyberattaques exige une communication claire entre les RSSI et les conseils d’administration. Pour combler ce fossé et obtenir un soutien crucial, les RSSI doivent donner la priorité à une communication efficace sur les risques. Abandonnez le jargon technique et traduisez les menaces complexes en termes commerciaux. Mettez en évidence l’impact financier des cyberattaques, les atteintes potentielles à la réputation et les perturbations des opérations de base. En présentant la cybersécurité comme un problème commercial, les RSSI peuvent obtenir l’adhésion du conseil d’administration aux investissements de sécurité essentiels. (Consultez cet excellent article pour plus de conseils sur la façon d’obtenir l’adhésion de la direction aux initiatives de sécurité ici.)
De plus, n’oubliez pas que la communication ne se limite pas à présenter les problèmes. Les RSSI doivent également démontrer les progrès réalisés et s’éloigner des indicateurs de base pour élaborer des rapports basés sur des données qui mettent en valeur l’efficacité des investissements en matière de sécurité. Les indicateurs clés doivent être suivis, tels que la réduction des attaques réussies ou le temps nécessaire pour identifier et contenir les violations. Ces points de données démontrables vous aideront à faire passer votre message.
Découvrez le nouvel eBook de XM CyberGuide du RSSI pour signaler les risques au conseil d’administration. Il regorge de stratégies et de conseils pour vous aider à enfin répondre aux questions du conseil d’administration sur les risques avec confiance et précision. En établissant un plan pour une communication claire et des progrès mesurables, les RSSI peuvent enfin instaurer la confiance au sein du conseil d’administration et sécuriser les ressources nécessaires pour gérer efficacement les cyber-risques.
