SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Fondamentalement, la cybersécurité est la réponse à un risque. À ce titre, c’est à la direction de la piloter. Il lui faudra toutefois être bien entourée, afin de saisir toutes les implications métiers liées aux menaces sur un numérique qui perfuse désormais l’entreprise et son business.

La cybersécurité couvre un ensemble de techniques et de pratiques visant à réduire les risques numériques. Ces risques, l’entreprise se doit de les identifier, de les qualifier, d’évaluer la probabilité et l’impact de chacun, puis de décider des actions à mener. Prenons le cas du courrier électronique, voie privilégiée des pirates pour extorquer des identifiants ou diffuser des malwares. C’est à la direction de prendre la mesure de ces risques, de décider de la meilleure option à appliquer – éviter, réduire, transférer ou accepter (voir encadré ci dessous) –, puis d’affecter les ressources, financières comme humaines, permettant de concrétiser ses choix. Le comité exécutif est donc l’organe d’où doivent partir toutes les décisions concernant la réduction du risque numérique, car il en connaît les implications métiers. Toutefois, il pourrait ne pas prendre toute la mesure de ces implications s’il prend conseil auprès d’experts au langage trop technique. Face à une complexité qui le dépasse, il pourrait alors décider de déléguer cette problématique à la DSI, qui sera plus à l’aise avec les aspects techniques… mais pourrait passer à côté des implications métiers. À ce titre, le RSSI se doi...