Close
  • Français
  • English

18/02/2019Tous connectés, tous impliqués, tous responsables : Le directeur de la cyber sécurité est un business partner essentiel de l’entreprise

La cyber sécurité est l’affaire de tous !

  • Suffit-il d’avoir trouvé la perle rare : un excellent RSSI (Responsable de la sécurité des systèmes d’information) ? comment interagit-il avec le business et les fonctions support ? comment est-il « connecté » au comité exécutif et au conseil d’administration ?
  • Comment les entreprises interagissent-elles avec les fournisseurs, les clients, les partenaires, les prestataires informatiques, les opérateurs ?

 

En matière de cyber sécurité, il est essentiel que chacun assume ses responsabilités : le Conseil d’administration, les dirigeants, la DSI, le RSSI, mais aussi les métiers, les fonctions, les employés, l’entreprise étendue (fournisseurs, sous-traitants, prestataires informatiques), sans oublier l’Etat (infrastructures, éducation, investigations, standards, certifications, règlementations).

 

Le directeur de cyber sécurité est un maillon essentiel du dispositif, mais son efficacité et sa performance dépendent de l’organisation dans son ensemble, et de son interaction avec les principaux acteurs de l’entreprise, en interne et en externe.

 

Il est l’interlocuteur du Comex, du Conseil d’administration, parfois via le comité d’audit et des risques, et l’informe sur l’exposition de l’entreprise aux risques, les incidents et les dispositifs à mettre en place.

 

Pour garantir leur indépendance, les Directeurs de cyber sécurité sont souvent rattachés, selon les structures, au Secrétaire Général, au Directeur de la sureté, au Directeur des risques, ou au Directeur Général, et non au DSI, en charge de la transformation numérique.

 

Il est essentiel qu’il soit bien informé des projets, et impliqué par les directions opérationnelles et fonctionnelles (par exemple les Achats, les fusions/acquisitions), pour pouvoir amener une vision transversale et 360°, ajuster les stratégies et plans d’action, après avoir mesuré l’efficacité des dispositifs.

 

Il s’appuie sur une chaine de RSSI au sein de l’entreprise (branches, filiales), établit la politique de sécurité applicable dans le groupe, la diffuse, et s’assure qu’elle est appliquée en lien avec la direction de l’audit interne.

Le maillon fort est l’humain, qui peut être également le maillon faible : tous doivent être formés, du haut en bas, et de bas en haut !

 

Certaines entreprises ont intégré le directeur de la cyber sécurité au comité exécutif, comme d’autres entreprises ont créé un comité numérique au conseil d’administration.

 

Son périmètre est large, puisqu’il s’occupe de l’ensemble des systèmes d’information : industriels, gestion, commerciaux, mais également de la protection des sites, et de l’entreprise étendue : fournisseurs, sous-traitants, prestataires, filiales dans l’ensemble des pays où le groupe a déployé des activités (les PME qui n’échappent pas à la numérisation et n’ont pas toujours les moyens suffisants, pour assurer la sécurité de leurs opérations :  il y a des « cyber morts » parmi les entreprises.

 

 

Trouver des partenaires de confiance, assurer la résilience de l’entreprise avec des ressources et des budgets limités, protéger des données stratégiques et personnelles sont les défis des responsables de la cyber sécurité, dans un contexte de réduction de coûts, d’automatisation et d’optimisation. Ses missions sont multiples, et s’inscrivent dans l’objectif de développer et maintenir la confiance numérique que les parties prenantes (clients, fournisseurs, employés, actionnaires, partenaires…) accordent à l’entreprise, ses produits et ses services.

  • Protéger les informations de l’entreprise, stratégiques, financières, personnelles, mais aussi intervenir dès la conception (privacy & security by design),
  • Conseiller le business dans le développement d’applications et de services qui permettent de développer des activités numériques et de créer de la valeur, en devenant un partenaire de confiance pour les clients traditionnels et de nouveaux clients.
  • Contribuer à la conformité, notamment dans le cadre du RGPD ou dans le cadre de la directive NIS.
  • Etablir la synthèse des cyber risques, en relativisant les différents risques : un manque de sécurité dans les systèmes industriels peut avoir des conséquences beaucoup plus graves pour l’entreprise qu’une fuite de données non stratégiques ou non sensibles !

 

Marie de Fréminville

Marie.defreminville@starboard-Advisory.com