Qu'est-ce que la gouvernance de la cybersécurité ?
La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.
Définition de la gouvernance de la cybersécurité
Des standards comme le COBIT de l’ISACA proposent de nombreuses définitions.
Dans la grande famille des standards ISO 27xxx, la norme ISO/IEC 27001 définit les principes de mise en œuvre d’un système de Gestion de la sécurité de l’information (ISMS – Information Security Management System), mais la gouvernance de la sécurité de l’information a sa propre norme : ISO/IEC 27014-2020.
L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) définissent ainsi la gouvernance informatique comme « les concepts, objectifs et processus […] par lesquels les organisations peuvent évaluer, contrôler, surveiller et communiquer les processus relatifs à la sécurité de l’information ».
Si on parle de gouvernance de la cybersécurité, c’est donc aussi parce que sa responsabilité incombe dorénavant aux échelons les plus élevés de la direction de l’organisation. Alors que la sécurité informatique a historiquement été du ressort des fonctions opérationnelles et techniques, les fonctions les plus élevées du management et même les Directions Générales se saisissent de plus en plus souvent du sujet de la sécurité de l’information. Les fonctions telles que Responsable de la sécurité des systèmes d'information (RSSI), Direction des Systèmes d’information (DSI) et responsable des risques (CRO : Chief Risk Officer) portent ce sujet auprès de la direction.
De manière plus synthétique, la gouvernance de la cyber sécurité (cybersecurity governance) consiste en l'ensemble des décisions qu’une organisation doit prendre pour sécuriser son système informatique et ses informations.
Quelle utilité pour la gouvernance de la sécurité de l’information?
La gouvernance de la cyber sécurité doit, en premier lieu, s’appuyer sur la gestion des risques cyber. Il faut réussir à anticiper les failles de cybersécurité pour chiffrer et limiter les futures pertes financières. Ces pertes dépendent elles-mêmes du niveau de d’appétence au risque de la société, c'est-à-dire des pertes financières qu’elle est prête à accepter ou non.
Chez C-Risk, nous préconisons que l’analyse du risque repose sur des critères quantifiables et mathématiques, tels que définis par le standard Factor Analysis of Information Risk (FAIR™). L’action de gestion des risques cyber qui en découle peut recouper différents types de réactions : traitement du risque, suppression, tolérance ou transfert.
Qui est concerné par la gouvernance informatique ?
Comme expliqué ci-dessus, parce qu’il s’agit d’une gouvernance, la cybersecurity governance dépend en premier lieu des instances de direction de l'entreprise. Le comité exécutif (COMEX) et le conseil d'administration incarnent donc les acteurs centraux des décisions prises en la matière. La DSI n’est ainsi plus l’acteur central de la démarche, même si elle épaule et sensibilise, bien sûr, l’équipe dirigeante.
Côté entreprise, nulle n’échappe vraiment à la nécessité de définir une gouvernance de la sécurité informatique. Parce que cette gouvernance doit permettre de prévenir et de réguler le risque cyber, elle concerne aujourd’hui toutes les tailles de sociétés.
Rappelons que les cyberattaques ont nettement augmenté depuis 2020. En 2018, le baromètre de la cybersécurité des entreprises du CESIN montrait que 92% des entreprises avaient déjà subi au moins une cyberattaque. C’est d’autant plus vrai que les petites et moyennes entreprises incarnent des cibles de choix pour les hackers. Ils les savent moins protégés des cyberattaques que les grandes structures.
Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber.
Découvrez comment nos solutions CRQ peuvent vous aider à quantifier et à atténuer vos risques cyber.
Pourquoi mettre en place une gouvernance de la cybersécurité ?
Le baromètre du CESIN paru en février 2021 affirme que le premier enjeu identifié par les entreprises en 2020 relève de l'intégration de la cybersécurité à la gouvernance. Cet enjeu était le plus important pour 60% des répondants. 72% des répondants se disaient d'ailleurs plus confiants sur le fait que le COMEX prenne en charge cette thématique.
Effectivement, mettre en oeuvre une gouvernance de la cybersécurité place le sujet informatique au cœur de la stratégie d’entreprise. Il devient dès lors plus logique d’investir dans d’autres domaines de préoccupation liés :
- sensibilisation des collaborateurs aux cyber risques et aux vulnérabilités humaines qui les provoquent (cyber-attaques);
- allocation d’un budget suffisant à la cybersécurité ;
- augmentation des effectifs dédiés ;
- acquisition de logiciels permettant de mieux protéger l'entreprise des cyberattaques. Celle-ci est d’ailleurs souhaitée par 85% des répondants du CESIN.
Reste que le développement d’une cybersecurity governance fait naître de nouvelles problématiques, telles que :
- la peur qu’une politique de cybersécurité freine la digitalisation de l'entreprise ;
- la multiplication et le renouvellement constants des réglementations, qui obligent de procéder à des mises à jour régulières de la gouvernance de la sécurité informatique;
- un manque d’experts dans les métiers de la cybersécurité ;
- des RSSI en mal d’influence, doublé de DSI sous-staffées ;
- le sous-financement des directions dédiées à la sécurité informatique ;
- des méthodes d’analyse des risques biaisées, car trop subjectives.
Comment mettre en place une cybersecurity governance ?
La méthode de gestion du risque cyber suivi par C-Risk s’appuie sur la volonté de sortir des approches subjectives et donc approximatives de gestion du risque. Appliquée à la gouvernance cyber, elle permet donc de prendre des décisions de politique informatique éclairées par des probabilités chiffrées de pertes financières liées aux cyberrisques.
La démarche s’appuie sur un modèle de responsabilité de la cybersecurity governance réparti en 3 “lignes de défense” :
1 / La première ligne de défense consiste à délimiter la responsabilité opérationnelle de la gestion des risques. Il s’agit, en général, des responsables des processus métiers et des contrôles techniques du système informatique. Cette ligne de défense s’occupe des opérations quotidiennes de détection et d’évitement des incidents.
Elle comprend parfois une fonction de gestion des risques informatique qui, au sein de la fonction sécurité informatique, est chargée de l’analyse des risques et vulnérabilités de l’entreprise et de la surveillance des contrôles mise en place par la 1ere ligne de defense. Elle sert ainsi de point de contact entre la première et la deuxième ligne de défense.
2 / La seconde ligne de défense regroupe les fonctions managériales de la gestion des risques cyber en interne, ainsi que les questions de conformité juridique. Elle est chargée de la définition des politiques, processus et des standards utilisés. Elle est également l’organe de vérification et de surveillance des actions de la première ligne. Il s’agit le plus souvent des missions qui relèvent du RSSI et du délégué à la protection des données (DPO).
3 / L’audit interne et externe représente la troisième ligne de défense contre le cyber risque. Il s’agit en fait d'une validation indépendante des première et deuxième lignes. Cette fonction relève généralement directement de la présidence-direction générale qui conduit cette revue annuellement, ou tous les six mois.
Ces trois catégories d’acteurs interagissent donc pour définir une gouvernance de la sécurité informatique solide. Il s’agit de définir les politiques et procédures capables de détecter, de prévenir et de répondre aux incidents cyber afin d’en limiter les conséquences négatives.
Les RSSI soutiennent une gouvernance de la cybersécurité fondée sur les données
Le RSSI fait le lien entre les opérations de cybersécurité et la direction générale. C'est le rôle qui existe entre le stratégique et l'opérationnel. En établissant une stratégie de cybersécurité fondée sur les données et en favorisant une culture d'entreprise consciente des risques, les RSSI veillent à ce que les activités de cybersécurité soient proactives et alignées sur les objectifs de l'entreprise. Des rapports réguliers sur les indicateurs clés de performance, les cyberincidents et les mesures correctives, ainsi que sur la conformité à la réglementation en matière de cybersécurité, permettent au conseil d'administration de prendre des décisions éclairées sur les activités de gouvernance de la cybersécurité et sur les investissements dans ce domaine.
Quantification des risques cyber par des mesures financières avec SAFE One
Pour renforcer la gouvernance de la cybersécurité, les RSSI se tournent vers des solutions basées sur les données qui quantifient les risques cyber en termes clairs et financiers. SAFE One de Safe Security, permet aux organisations d'augmenter leurs évaluations traditionnelles et qualitatives des risques avec une approche quantifiable et axée sur les finances. SAFE One aide les RSSI à mesurer les risques cyber en attribuant une valeur monétaire aux risques potentiels de cybersécurité, ce qui permet aux dirigeants d'avoir une compréhension concrète de leur exposition et de leurs pertes potentielles.
Si vous souhaitez combler le fossé de la communication avec la quantification des cyber-risques, contactez-nous pour plus d'informations.
FAQ : gouvernance cybersécurité
Qu'est-ce que la gouvernance de la cybersécurité ?
La gouvernance de la cybersécurité est la gouvernance dédiée à la sécurité informatique et à la protection vis-à-vis des cyberattaques. On parle de gouvernance car c’est un risque majeur qui concerne aujourd’hui toute l’entreprise et nécessite donc une politique globale.
Pourquoi est-il important de développer une gouvernance de la cybersécurité ?
Les risques cyber sont devenus très stratégiques pour les entreprises. Ils ne peuvent plus dépendre uniquement de l’opérationnel. Il s’agit désormais d’adopter des politiques de sécurité informatique capables d’englober les enjeux juridiques et financiers qu’ils recoupent.
Peut-on parler de GRC au sujet de la gouvernance cybersécurité ?
La Gouvernance, Risque, Conformité (GRC) est une approche globale du risque, qui le croise avec ses implications en termes de stratégies d’entreprise et de conformité réglementaire. Il s’agit donc d’une démarche tout à fait adaptée à la gestion du risque cyber.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.