Par Sam Olyaei, Gartner inc.
Dans quelle mesure sommes-nous sécurisés? Pourquoi devons-nous affecter d’autres ressources à la sécurité alors que nous venons d’approuver des dépenses l’an dernier? Comment, nous avons eu quatre incidents? Je croyais que vous aviez les choses en main.
Il y a fort à parier que la plupart des responsables de la sécurité et de la gestion des risques ont entendu ces questions de nombreuses fois de la part de leur conseil d’administration.
C’est qu’il est malheureusement impossible de répondre à ces questions. Elles sont provoquées par des renseignements circulant dans le public qui sont exagérés, incomplets ou contradictoires et qui font distraction à des questions plus pertinentes.
Gartner estime que d’ici 2020, la totalité des grandes entreprises se verront demander de présenter à la leur conseil d’administration au moins une fois par année un compte rendu sur la cybersécurité et les risques associés à la technologie.
Aujourd’hui, les conseils d’administration sont davantage au courant des risques liés à la sécurité. En effet, seulement 15 pour cent des administrateurs affirment que leur conseil d’administration est peu ou pas au courant de ces risques, par rapport aux 22 pour cent en 2015.
De plus, les conseils d’administration s’appuient sur l’attention plus marquée envers la cybersécurité pour orienter leurs décisions d’affaires. En 2019, dans le cadre d’un sondage mené par Gartner auprès des responsables de la sécurité et de la gestion des risques, quatre répondants sur cinq ont indiqué que les risques exerçaient une influence sur les décisions prises au conseil d’administration.
Les responsables de la sécurité doivent être en mesure de répondre aux préoccupations du conseil d’administration. Au-delà des passions et des préoccupations individuelles, les conseils se soucient habituellement de trois choses : augmenter les recettes, éviter les coûts futurs et gérer les risques financiers, associés au marché, réglementaires et liés à la marque.
Plus ils prennent conscience de l’importance cruciale que revêtent la sécurité et la gestion des risques, plus les membres du conseil posent des questions complexes et nuancées.
Aujourd’hui, les conseils d’administration sont mieux informés et mieux préparés pour remettre en question l’efficacité du programme de leur entreprise. Voici cinq catégories de questions que posera inévitablement le conseil et auxquelles les responsables de la sécurité et de la gestion des risques devraient être prêts à répondre.
1. La question de tolérance au risque.
Quelque chose comme Sommes-nous sécurisés à 100 %? Vous en êtes certain?
Pourquoi la pose-t-on? Ce genre de question provient souvent de membres du conseil qui ne comprennent pas vraiment la sécurité et son incidence sur l’entreprise. Il est impossible d’être protégés ou sécurisés à 100 %. Le rôle des responsables principaux de la sécurité de l’information (RPSI) consiste à repérer les secteurs à risque élevé et à consacrer à leur gestion des ressources limitées en fonction de la tolérance de l’entreprise.
Comment y répondre? Commencez par quelque chose comme : « Compte tenu de la nature sans cesse changeante du paysage des menaces, il est impossible d’éliminer toutes les sources des risques auxquels sont exposés les renseignements. Mon rôle consiste à mettre en place des mécanismes de contrôle permettant de gérer les risques. Au fur et à mesure de la croissance de notre entreprise, nous devons constamment réévaluer notre degré de tolérance au risque. Notre objectif est d’élaborer un programme viable qui offre un juste équilibre entre les besoins de protection et les besoins permettant d’exercer nos activités. »
2. La question sur le paysage
Quelque chose comme : Quelle est la gravité de la situation en général? Comment la situation chez XYZ a-t-elle pu se produire? Comment nous portons-nous par rapport aux autres?
Pourquoi la pose-t-on? Les membres du conseil ont vu passer des rapports, des articles, des blogues portant sur les menaces et ressentent une pression réglementaire à comprendre les risques. Ils demanderont toujours ce que font les autres, en particulier les entreprises concurrentes. Ils veulent connaître « la température de l’eau » et se comparer aux autres.
Comment y répondre? Évitez de vous prononcer aveuglément sur la cause fondamentale d’un problème de sécurité dans une autre entreprise en disant « Je ne voudrais pas spéculer sur l’incident qui a eu lieu chez XYZ tant qu’on n’en saura pas plus, mais je me ferai un plaisir de vous revenir lorsque j’en saurai plus. »
Envisagez de discuter d’une série de réponses plus larges concernant la sécurité, par exemple en trouvant une faiblesse semblable et en indiquant les mesures prises pour la corriger ou en actualisant les plans de continuité des activités.
3. La question sur les risques
Quelque chose comme : Connaissons-nous les risques qui nous guettent? Quels sont ceux qui vous tracassent?
Pourquoi la pose-t-on? Le conseil sait que l’acceptation des risques est un choix (s’il ne le sait pas, voilà un problème que vous devrez résoudre). On cherche à s’assurer que les risques auxquels est exposée l’entreprise sont pris en charge. Les RPSI devraient être prêts à expliquer la tolérance de l’entreprise à l’égard du risque afin de pouvoir défendre les décisions relatives à la gestion des risques.
Comment y répondre? Expliquez les répercussions opérationnelles des décisions en matière de gestion des risques et assurez-vous d’appuyer vos positions par des données probantes. La deuxième partie est essentielle étant donné que le conseil prend des décisions en fonction de la tolérance au risque. Tout risque qui sort de la zone de tolérance nécessite une mesure qui le ramènera en zone tolérable.
Cela ne signifie pas forcément qu’il faille rapidement apporter des changements drastiques ; attention aux réactions excessives. Le conseil voudra avoir l’assurance que les risques importants sont pris en charge de manière adéquate et, dans certains cas, les démarches subtiles à long terme peuvent être indiquées.
4. La question sur la performance
Quelque chose comme : Allouons-nous les ressources de manière appropriée? Dépensons-nous suffisamment? Pourquoi dépensons-nous autant?
Pourquoi la pose-t-on? Le conseil veut être rassuré en sachant que les responsables de la sécurité et de la gestion des risques ne restent pas les bras croisés. Les membres du conseil voudront avoir des mesures et connaître le rendement sur le capital investi.
Comment y répondre? Ayez recours à une approche de la fiche d’évaluation équilibrée dans laquelle la couche supérieure représente les aspirations de l’entreprise et la performance de l’organisation par rapport à ces aspirations, le tout illustré au moyen du mécanisme d’un feu de circulation.
Autant que possible, expliquez les aspirations en termes de performance de l’entreprise et non pas de technologie. La performance est étayée par un ensemble de mesures de la sécurité qui sont évaluées au moyen de critères objectifs.
5. La question concernant les incidents
Quelque chose comme : Comment cela a-t-il pu se produire? Je croyais que vous aviez les choses en main. Qu’est-ce qui a échoué?
Pourquoi la pose-t-on? On pose cette question lorsqu’un incident ou un événement s’est produit et que le conseil est déjà au courant ou que le RPSI l’en informe.
Comment y répondre? Un incident est inévitable. Soyez donc factuel. Communiquez ce que vous savez et les mesures que vous prenez pour découvrir tout fait nouveau. En bref, reconnaissez l’incident, donnez des renseignements quant aux répercussions pour l’entreprise, expliquez les faiblesses ou les lacunes qui doivent être résolues et exposez un plan d’atténuation.
Devant le conseil, prenez garde de préconiser une option comme étant le choix incontournable. La responsabilité de la surveillance de la sécurité et des risques demeure celle du chef de la sécurité, mais l’imputabilité doit toujours être définie à l’échelon du conseil/de la haute direction.
Les analystes de Gartner aborderont la gestion de la sécurité et des risques, ainsi que d’autres sujets d’intérêt pour les DPI et les hauts dirigeants des TI à l’occasion du Gartner IT Symposium/Xpo qui se tiendra du 11 au 14 mai 2020 à Toronto, au Canada.
Sam Olyaei est directeur de recherche chez Gartner au sein du groupe de la gestion des risques et de la sécurité. Il agit à titre de conseiller auprès de responsables principaux de la sécurité de l’information, de chefs de l’information, de chefs de la gestion des risques et de cadres supérieurs non liés aux TI en ce qui concerne le perfectionnement de leurs pratiques en matière de sécurité et de gestion des risques grâce à des recherches de pointe et à un leadership éclairé.
