Accueil  >  Parcours thématique  >  Gestion opérationnelle de la sécurité  >  Faire de la sécurité un allié de votre développement business (By François Gratiolet, BUSINESS DIGITAL SECURITY)

Gestion opérationnelle de la sécurité

Faire de la sécurité un allié de votre développement business (By François Gratiolet, BUSINESS DIGITAL SECURITY)

  Afin que la cybersécurité ne soit pas perçue comme un frein, mais participe au contraire à l’évolution de l’entreprise, il est essentiel d’aligner sa stratégie en cybersécurité sur sa stratégie business. En la manière, chaque responsable cybersécurité doit se doter d’un plan. Pour y parvenir, les professionnels de la cybersécurité doivent parler le même...

 

Afin que la cybersécurité ne soit pas perçue comme un frein, mais participe au contraire à l’évolution de l’entreprise, il est essentiel d’aligner sa stratégie en cybersécurité sur sa stratégie business. En la manière, chaque responsable cybersécurité doit se doter d’un plan. Pour y parvenir, les professionnels de la cybersécurité doivent parler le même langage que les dirigeants.

Récemment, j’ai été amené à évoquer les enjeux de sécurité devant mes camarades d’Executive MBA. Une mission pour le moins délicate. En effet, si le sujet me passionne en tant que spécialiste du marché, il a tendance à laisser perplexe les non-initiés, quand il ne les effraie pas tout simplement. Et pourtant !

À tout moment, la santé économique de votre entreprise et sa réputation peuvent être mises à mal par un acteur malveillant. A cela s’ajoutent des risques juridiques de plus en plus importants. Afin d’assurer aux consommateurs des services de confiance et leur garantir la préservation de leurs données personnelles, le législateur incite de plus en plus les acteurs économiques à mettre en place des mesures menant à une sécurité optimale. Cette tendance se traduit notamment au travers de la loi de programmation militaire (LPM) ou encore du récent règlement européen sur la protection des données (GDPR).

 

Business et sécurité encore trop éloignés

Dans un environnement qui évolue rapidement, les entreprises doivent mieux prendre en considération les enjeux en matière de cybersécurité, de manière intelligente et agile. Et rien n’est moins simple.

Une récente étude menée par The Economist1 mettait en lumière la distance existante entre les responsables du business et ceux chargés d’assurer la cybersécurité de l’entreprise. Elle révélait d’importantes disparités en matière de perception des risques et de la menace cyber, des actifs à protéger, des enjeux en matière de gouvernance de la donnée. Si la réputation apparaît comme le premier élément à protéger dans le chef des dirigeants d’entreprise, c’est la donnée régulée qui est le principal sujet de préoccupation du côté des acteurs de la cybersécurité.

Dans ce contexte, comment parvenir à assurer une cybersécurité optimale ?

 

  1. Se doter d’une réelle stratégie de cybersécurité

Grâce à une identification précise des actifs informationnels les plus sensibles présents au sein de la chaîne de valeur et des systèmes d’information, après une analyse des risques encourus, il sera possible de définir et mettre en place une stratégie garantissant une sécurité améliorée. A lui, seul, un mot barbare comme stratégie peut en rebuter plus d’un. Déterminer les finalités et objectifs fondamentaux en matière de sécurité à long terme pour l’entreprise constitue pourtant une démarche à la fois évidente, simple et, surtout, particulièrement nécessaire. Elle doit permettre, par la suite, de mettre un plan d’actions adapté et d’allouer les ressources adéquates pour atteindre les objectifs fixés. La sensibilisation des collaborateurs, l’évaluation permanente des risques et de la menace, le choix de partenaires stratégiques en cybersécurité, la mise en place de procédures de réponses sur incident, sont des leviers parmi d’autres d’amélioration de la cybersécurité. Au départ d’une stratégie bien pensée, vous pourrez investir à bon escient.

 

  1. Aligner sa stratégie en cybersécurité avec sa stratégie business

Si, en tant que DSI ou RSSI, vous souhaitez disposer des ressources adéquates pour mener à bien votre mission, il est essentiel que le management perçoive l’importance de la cybersécurité à la faveur du développement business. L’émergence des objets connectés au niveau des processus métier, l’exigence des clients d’accéder plus facilement à l’information à travers des interfaces ouvertes (APIs), la nécessité de mieux partager la donnée pour plus d’efficience entre partenaires sont autant d’éléments qui poussent le business à faire évoluer les systèmes d’information vers plus d’ouverture et d’agilité. Dans ce contexte, la cybersécurité devient une alliée de la performance et d’une gestion des risques optimisée.

 

  1. Transposer à la cybersécurité les concepts de stratégie et de management d’entreprise

Les responsables de la sécurité doivent donc être connectés au management et, pour cela, les uns et les autres doivent se comprendre. Par exemple, plutôt que d’évoquer des normes techniques comme ISO 27001 ou ISO 27005 et d’utiliser des termes barbares comme DDA (déclaration d’applicabilité), un responsable sécurité qui souhaite persuader le management de l’entreprise d’entreprendre de nouvelles démarches sera écouté s’il évoque la nécessité d’identifier dans la chaîne de valeur les activités et les informations clefs créant le plus de valeur pour l’entreprise, afin de mettre en place une meilleure gestion des risques et de protéger en priorité ces actifs clés. En utilisant les codes compris par le business et les dirigeants, les acteurs de la cybersécurité parviendront mieux à les persuader, et la cybersécurité fera progressivement partie intégrante de la culture business de l’entreprise.

 

1 The cyber-chasm : how the disconnect between the C-suite and security endangers the enterprise, A report from The Economist Intelligence Unit, 2016.

Pin It