Quel rôle doit jouer le PDG dans la prévention des cyberattaques en entreprise ?

,

Publié le

Pour le fondateur de F-Secure Risto Siilasmaa, le PDG et plus largement le conseil d'administration ont un rôle à jouer dans la prévention des cyberattaques.

Quel rôle doit jouer le PDG dans la prévention des cyberattaques en entreprise ?

L’entrée en vigueur du RGPD en mai 2018 et l’intensification depuis quelques années des cyberattaques en entreprise ont beaucoup posé la question de la DSI (direction des services informatiques) et de sa place dans l’entreprise. Mais quid du rôle du CEO (PDG) et du conseil d’administration (CA) en matière de cybersécurité ?

Si en effet la DSI est présente dans les grandes entreprises, elle est pour la majorité des cas inexistante dans les entreprises plus petites ! Malgré les nombreux efforts que consentent les entreprises technologiques pour se protéger et protéger leurs clients des cyber risques, la question de la place de la cybersécurité accordée dans les conseils d’administration et dans les réunions avec le CEO est à soulever. Le CEO reste le garant de la prospérité et de la sécurité de son entreprise. Il ne peut et ne doit être un expert en cybersécurité mais il ne peut et ne doit pas non plus tout déléguer. Pourquoi ? Parce que les cyber risques sont devenus si importants qu’ils font encourir la responsabilité du chef d’entreprise lui-même, malgré une bonne DSI en amont.

Quelles sont les informations pertinentes à porter à la connaissance du CA et du CEO ?

L’identification des systèmes les plus critiques de l’entreprise : le CEO doit être capable de fournir l’ensemble des systèmes informatiques qui sont indispensables pour son entreprise et qui doivent de ce fait bénéficier d’une protection maximale. Pour montrer l’impact d’une faille sur l’un des systèmes il doit la chiffrer, auprès de son CA et de l’ensemble de son personnel, en termes financiers (pertes de revenus liées à la perte du système en question), de réputation (fuite d'informations clients confidentielles, perturbation des activités de vos clients), de ressources liées à la compétitivité (perte de plans de R&D, d'actifs logiciels essentiels, de plans stratégiques). Attention, les entreprises dites "traditionnelles" qui n’utilisent pas forcément de manière systématique le numérique doivent faire l’effort de se mettre à jour !

Cette contrainte supplémentaire oblige le CEO à repenser l’identification des systèmes potentiellement critiques au-delà du simple parc informatique, comme les processus de contrôle de fabrication et toutes les solutions connectées. Il est également bon de vérifier auprès de ses fournisseurs que ceux-ci prennent toutes les mesures nécessaires pour sécuriser les échanges et transactions car on ne le répétera jamais assez : si l’entrée est protégée mais que la sortie est défectueuse, les pirates informatiques n’hésiteront pas à accéder par le biais d’approches détournées !

Quelles actions mettre en place et quels comptes rendre ?

La connaissance du risque : le CEO et le CA ne peuvent pas ne pas être tenus au courant des dégâts que peuvent entraîner une attaque par un pirate informatique. Chiffrer la perte est une bonne chose mais connaître la menace encore mieux. Il est impératif de réaliser des scénarios des différents types de faille allant de la simple intrusion par boite mail à la pénétration à l’intérieur du système de messagerie interne. Comment (ré)agir si plus aucune communication n’est possible ? Peu d’entreprises se mettent dans ce type de situation aujourd’hui alors qu’il est absolument essentiel de préserver la communication orale !

La mise en place d’attaques de red teaming – attaques bienveillantes réalisées par des entreprises expertes en cybersécurité - permet de tester la réactivité et les solutions mises en place par les équipes dédiées. Pour une réussite totale de l’opération, il est nécessaire qu’aucune des personnes appartenant à la société ne soit dans la confidence de la préparation d’un tel test. Il faut évaluer en temps réel et de manière inopinée la réactivité des solutions et des équipes. Ensuite, viendra le temps de se poser les bonnes questions et d’en tirer les conclusions.

Un rapport devra être rédigé au CEO ainsi qu’au conseil d’administration pour agir le plus rapidement possible. Les questions qu’il faudra notamment se poser :

  • Est-ce que l’attaque a infecté un système critique ?
  • Quelle a été la réaction de mon équipe de cybersécurité ?
  • Quand a-t-elle été informée de l’attaque ? Estimez-vous ces délais raisonnables ?
  • Que faut-il modifier / améliorer pour faire face à ce type d’attaque ?

Enfin, il est important de développer la culture d’entreprise et d’instaurer la notion d’échanges. L’équipe cyber doit pouvoir faire remonter les erreurs qu’elle voit ou qu’elle a commises sans culpabilité. La cybersécurité est une nouvelle discipline qu’il faut apprivoiser. De plus, le personnel de l’entreprise doit être sensibilisé à détecter des mails de phishing au bas mot.

En conclusion, le chef d’entreprise, qu’il soit dirigeant d’une grande entreprise ou d’une PME doit connaître les enjeux de la cybersécurité et doit être tenu au courant de l’ensemble des processus qui sont mis en place dans sa société. Il n’est plus envisageable aujourd’hui, d’arriver dans une entreprise et que le dirigeant ne sache pas de quoi on parle en invoquant la notion de cybersécurité !

Risto Siilasmaa, président-fondateur de F-Secure

Les avis d'expert sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Nouvelle.

 

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte