Quelle importance l'entreprise va-t-elle accorder à l'avis du DSI lors de décisions stratégiques? Pixabay

Il y a de très nombreuses raisons pour une entreprise de se soucier de sa cyber-sécurité aujourd'hui. Fraude, vol ou destruction de données, demandes de rançon, services perturbés et systèmes endommagés, atteinte à la réputation… les attaques sont pléthoriques et de plus en plus complexes. Le risque est augmenté par les nouveaux usages de travail tournés vers la mobilité, l'accès au cloud et les réseaux sociaux.

En entreprise, une équipe est chargée de contrer ces attaques de réseaux à temps plein. Le rôle du Responsable de la sécurité des systèmes d'information (RSSI) ou du DSI est d'évaluer les risques que peut encourir l'entreprise — au quotidien mais aussi lors de décisions stratégiques comme une acquisition.

Quelle importance l'entreprise va-t-elle accorder à ce que pense le responsable de la sécurité informatique lorsqu'il faudra prendre ce type de décision?

Cela dépend du degré de cybermaturité de votre entreprise, c'est-à-dire de sa capacité à évaluer, réviser et modifier sa situation face aux risques informatiques.

Certaines entreprises sont plus matures sur le plan informatique que d’autres. Or, si les membres du conseil d’administration sont rarement au fait des dernières technologies, il est crucial pour ces derniers de pouvoir s'appuyer sur le bon niveau de leadership informatique.

Dans le guide "Gouverner à l’ère du numérique", deux experts en sécurité informatique — Greg Day, Vice President et Chief Security Officer Europe, Moyen-Orient et Afrique chez Palo Alto Networks, et Alan Jenkins, ancien RSSI d'une entreprise cotée au FTSE100 — expliquent comment établir ce diagnostic.

Voici les deux premières questions à se poser:

1. Le niveau de la direction de la sécurité informatique est-il suffisant au regard des besoins de l’entreprise? Ces besoins varient en fonction de la technologie utilisée et de l'environnement règlementaire dans lequel l'entreprise évolue.

2. Faut-il faire appel à un conseiller en fusions/acquisitions à même de répondre à des questions d'ordre stratégique, ou un expert technique suffit-il?

La réponse se trouve dans l’analyse d'indicateurs décalés et d’indicateurs avancés.
Les premiers vont vous dire comment l'entreprise a réagi dans le passé à des cyberattaques — le nombre de systèmes protégés par un antivirus, le nombre de correctifs déployés et le nombre de logiciels malveillants bloqués.

Les seconds permettent d’analyser votre degré de préparation: le délai séparant une attaque et sa détection a-t-il été réduit, le déploiement des correctifs est-il plus efficace et l'entreprise est-elle plus sécurisée?

Procéder à cet examen permettra au Conseil d'administration de faire confiance à l'équipe en charge de la sécurité des systèmes d'informatique, et ce peu importe la décision qu'elle prendra.

Pour assurer la meilleur protection des systèmes d'information en entreprise, experts de la sécurité et dirigeants opérationnels ne doivent plus être opposés ni même déconnectés. La transformation numérique des entreprises a aussi fait voler en éclat cette frontière-là.

Pour savoir comment améliorer la cybersécurité de votre entreprise,  téléchargez le Guide "Gouverner à l'ère du numérique" ici.

Ce post est sponsorisé par Palo Alto Networks et a été créé par BI Studios.

Lire aussi : 5 choses à faire pour protéger votre entreprise contre de futures cyberattaques