kantver - Fotolia
Parler cybersécurité aux dirigeants ? Un exercice qui reste délicat
Les guides visant à expliquer les enjeux de la sécurité du numérique aux dirigeants se multiplient sans réussir à faire l’unanimité. De quoi souligner la difficulté d’un exercice auxquels les RSSI doivent se prêter au quotidien.
A l’automne dernier, Palo Alto Networks publiait, avec La Tribune et le Club des experts de la sécurité de l’information et du numérique (Cesin) le « guide de la cybersécurité pour les dirigeants d’entreprise ». L’adaptation en fait d’un guide publié plus tôt outre-Atlantique par l’équipementier, forte de contenus issus d’experts Hexagonaux, comme l’avocat Olivier Iteanu, le RSSI groupe d’EDF, Olivier Ligneul, ou encore Michel Van Den Berghe, patron d’Orange Cyberdéfense et Jérôme Saiz, fondateur d’Opfor Intelligence, pour ne citer qu’eux. Et puis nos confrères d’Alliancy ont publié l’édition 2016 de leur « Guide de la cybersécurité ».
L’Agence nationale de la sécurité des systèmes d’information (Anssi), n’a pas été en reste, avec un guide de « 12 règles essentielles » présenté comme « le fruit d’une réflexion et d’un travail en commun » avec la Confédération générale des petites et moyennes entreprises (CGPME), dont BPI France n’a pas manqué, comme d’autres, de faire la promotion. Début 2017, l’Anssi a en outre présenté la version mise à jour de son guide général de bonnes pratiques pour sécurisation des systèmes d’information.
Fin février, un autre guide est venu s’ajouter à cette liste, celui du Conseil de l’économie et de l’information du digital (Ceidig). Distribué notamment sous la forme d’un livre électronique gratuit par Eyrolles, il a été réalisé avec le soutien de l’Anssi, du Cesin, des organisateurs des Assises de la Sécurité, de Syntec Numérique ou encore d’Hexatrust. Nos confrères du magazine Challenges se sont également associés à l’opération, offrant à ce guide une publicité inhabituel pour le sujet. Et qui lui a valu un niveau de commentaires tout aussi inhabituel.
Un guide critiqué
Dès son annonce, les premières critiques se sont manifestées et certaines n’ont pas manqué d’être particulièrement acerbes estimant qu’avait été perdue là « une bonne occasion de sensibiliser ». Rayna Stamboliyska, scientifique de formation, spécialiste de la gestion des données, relève une démarche « pertinente », le magazine partenaire pouvant « toucher les dirigeants de divers domaines ». Mais très rapidement, elle déplore une approche où le conseil opérationnel lui apparaît négligé au profit « des envolées lyriques » ou « des formulations vaseuses » et des approximations. Elle souligne que « le propre de l’exercice de la sécurité est de ne surtout pas laisser des mots flotter, mais de spécifier et de préciser », pour mieux déplorer l’absence de définition du mot « cybersécurité » ou de détail de la nature des « cyberattaques détectées » en France en 2016. Même chose pour le terme de « darkweb ». Et si les auteurs assurent que « le cybercrime est d’autant plus lucratif que l’investissement initial est limité », l’affirmation n’est hélas pas étayée. Ni même celle selon laquelle le « risque juridique est quasi-nul ».
Les questions posées dans le seconde partie du livre - consacrée à la manière de se protéger - ne manquent pas non plus de la laisser à tout le moins perplexe. Et c’est sans compter avec la troisième partie, consacrée à la présentation des… fournisseurs partenaires de l’ouvrage. Au final, pour Rayna Stamboliyska, le guide du Ceidig manque amplement de clarté : « par exemple, je ne comprends pas ce qui relève de ma sécurité, en tant que CEO, de la sécurité de ma boîte, et de ma sécurité individuelle » et « il n’y a par ailleurs aucune mention de la compartimentation » des informations en fonction de leur nature et de leur degré de sensibilité. Sur Twitter ou encore LinkedIn, ses propos n’ont pas manqué de trouver un écho positif.
Pour un exercice indispensable mais difficile
Force est de constater que sensibiliser les dirigeants d’entreprises aux questions de sécurité informatique est essentiel. Plusieurs études, rendues publiques à l’automne dernier, tendaient ainsi à montrer que les directions ne pressent pas réellement au sérieux des menaces qu’elles peinent, en fait, à véritablement appréhender. Au printemps 2016, une étude réalisée par Goldsmiths, de l’université de Londres, pour Tanium et Nasdaq, soulignait un écart important entre « le niveau de conscience et de préparation des leaders en entreprise aux défis de la cybersécurité, et ce qu’il devrait être ». Une autre étude, réalisée par The Economist pour VMware, indiquait de son côté que la sécurité informatique n’arrivait qu’en neuvième position des priorités des dirigeants des entreprises. A l’automne dernier, Lloyd’s tendait à conforter ces analyses. Mais en juin 2016, l’étude du Club de la sécurité de l’information français (Clusif) sur les menaces informatiques et les pratiques de sécurité en France, faisait état d’une situation préoccupante : la sensibilisation des VIP chutait à 20 %, contre 31 % deux ans plus tôt.
Mais l’exercice est difficile. Et Gartner le soulignait dans une note d’information à ses client publiée l’été dernier. Le cabinet jugeait ainsi que « les communication de haut niveau au sujet de la sécurité des informations peuvent être intrinsèquement compliquées », estimant au passage que les RSSI ont « tendance à créer involontairement la confusion ou la contestation » du fait de « messages trop chargés » ou impliquant des « détails inappropriés pour la plupart du public ». Gartner recommandait alors le recours à « la structure de prédiction, prévention, détection et réponse pour apporter de la clarté aux communications stratégiques des RSSI ». Un modèle qui a notamment l’avantage de couvrir le cycle complet de la protection contre les menaces et doit aider à la création d’une « compréhension et d’une reconnaissance instantanées », mais également à « réduire la complexité ».