La gestion des risques en entreprise devrait orienter les stratégies de cybersécurité
Le risque cyber n'existe pas dans un vide. En prenant en compte l'ensemble du paysage de la gestion des risques en entreprise, les RSSI peuvent prendre des décisions qui servent au mieux l'entreprise.
Alors que les dirigeants et les conseils d'administration considéraient autrefois la cybersécurité comme une préoccupation principalement technique, beaucoup la reconnaissent désormais comme un enjeu majeur pour l'entreprise. Toute organisation qui ne parvient pas à protéger ses actifs numériques sensibles des cybermenaces de plus en plus sophistiquées d'aujourd'hui risque de payer un lourd tribut. Une seule violation de données sérieuse peut entraîner des perturbations opérationnelles débilitantes, des pertes financières, des dommages à la réputation et des sanctions réglementaires.
Finalement, les dirigeants d'entreprise ne peuvent plus se permettre de considérer le risque cybernétique de manière isolée, et les RSSI non plus. Au contraire, ils devraient contextualiser les initiatives de sécurité dans le cadre plus large de la gestion des risques d'entreprise à l'échelle de l'organisation. Ce faisant, les RSSI peuvent prendre des décisions plus efficaces, guidées par les affaires, et cohérentes avec les objectifs et les contraintes de l’organisation.
Cybersécurité vs gestion des risques
La cybersécurité et la gestion des risques ont des champs d'action distincts mais une intersection significative. La cybersécurité se concentre principalement sur la protection des actifs numériques – tels que les systèmes d'information, les réseaux et les données – contre l'accès non autorisé, la perturbation ou le vol. Elle se concentre sur les contrôles techniques, les politiques et les procédures qui atténuent les risques cyber.
La gestion des risques en entreprise, en revanche, est le processus d'identification, d'évaluation et d'atténuation de la multitude de risques divers – stratégiques, financiers, juridiques et opérationnels – auxquels les organisations sont confrontées aujourd'hui. Alors que la cybersécurité traite spécifiquement des menaces numériques, la gestion des risques en entreprise adopte une vision beaucoup plus large, se préoccupant également des menaces dans les sphères économiques, environnementales, financières, judiciaires, réglementaires et sociales.
Pour protéger l'organisation de la manière la plus efficace contre les cybermenaces, un RSSI doit comprendre le paysage global du risque. Les dirigeants de la sécurité devraient donc travailler en étroite collaboration avec d'autres cadres de la gestion des risques, parmi eux les directeurs des risques et les directeurs financiers, pour identifier l'appétit pour le risque et les niveaux de tolérance au risque de l'organisation.
Après tout, c'est l'entreprise qui détermine quels risques sont acceptables, et non la cybersécurité. Le rôle de la cybersécurité est d'expliquer les risques numériques à l'entreprise et de les atténuer selon les directives de l'entreprise.
Des stratégies cyber basées sur la gestion des risques
Idéalement, les contrôles et investissements en cybersécurité sont en adéquation avec l'appétit pour le risque et les niveaux de tolérance au risque de l'organisation, reflétant ainsi la stratégie de gestion des risques de l'entreprise dans son ensemble.
Avec une approche basée sur le risque, les responsables de la sécurité peuvent déterminer leurs priorités en matière de cybersécurité en se basant sur les éléments suivants :
- la probabilité qu'un événement cyber donné se produise ;
- les dommages que pourraient causer un événement cyber donné ;
- si l'organisation est disposée ou non à accepter le cyber-risque ;
- si ce n'est pas le cas, ce qu'il faudrait faire pour ramener le risque cyber à un niveau acceptable.
Par exemple, une institution financière classerait probablement comme significatif le risque d'accès non autorisé aux comptes de ses clients. Elle prioriserait donc la mise en place de mécanismes d'authentification robustes et de contrôles d'accès rigoureux.
L'intégration de la gestion des risques d'entreprise et de la gestion des risques cyber est fortement recommandée. Cela nécessite cependant des efforts internes continus :
- utiliser des frameworks et des méthodes de gestion des risques d'entreprise pour évaluer et quantifier les cyber-risques ;
- procéder régulièrement à des évaluations des risques et à des analyses de vulnérabilité afin d'identifier les faiblesses de l'infrastructure et des contrôles de sécurité de l'organisation ;
- organiser régulièrement des exercices de sécurité coordonnés dans l'ensemble de l'entreprise afin de mieux connaître les niveaux de risque cyber et les besoins d'atténuation ;
- faire référence au cadre général de gestion des risques de l'entreprise lors de l'élaboration des plans de réponse aux incidents du programme de sécurité. L'objectif est d'adopter une approche coordonnée et globale de la gestion et de l'atténuation des conséquences d'un incident cyber.
Plutôt que d'exister en silos, les stratégies de gestion des risques d'entreprise et de gestion des risques cyberdevraient se compléter et s'informer mutuellement. En intégrant la cybersécurité dans leurs cadres de gestion des risques, les organisations peuvent protéger de manière plus efficace et efficiente leurs actifs numériques les plus précieux.