Face à l’augmentation des cyberattaques, une nouvelle étude de Barracuda révèle que de nombreux cadres d’entreprise sous-estiment ces risques critiques. Quelles seraient donc les stratégies pour combler ce fossé de compréhension et assurer la résilience des entreprises dans un environnement de moins en moins prévisible ?
Selon la dernière étude de Barracuda, les chefs d’entreprise ont parfois du mal à comprendre l’importance du risque cyber. Un peu plus d’un tiers (35 %) des petites entreprises interrogées à travers le monde déclarent que les cadres supérieurs ne considèrent pas les cyberattaques comme un risque important. Par ailleurs, un quart d’entre eux admettent que les dirigeants ne sont pas spécialement tenus au courant des menaces qui pèsent sur leur entreprise.
Riaz Lakhani, CISO chez Barracuda Networks :
« Pour les cadres supérieurs, il est parfois difficile de comprendre les cyber-risques auxquels leur entreprise est confrontée. Cela n’a rien à voir avec un problème de gestion, mais il est toujours plus compliqué d’adresser un sujet que l’on ne maîtrise ou ne comprend pas totalement. Les RSSI doivent être des passeurs d’informations. Ils doivent être capables de sensibiliser les personnes à tous les niveaux de l’entreprise, de les aider à comprendre et à adopter des politiques de sécurité, des réponses aux incidents, etc. Le temps passé à écouter et à apprendre de ses principales parties prenantes est l’un des meilleurs investissements que l’on puisse faire ».
Dans un nouveau guide, « The CISO script: How to talk to business leaders about security risk », Riaz Lakhani décrit les trois profils de personnes avec qui tout RSSI doit discuter au moins une fois de ces sujets majeurs :
- Avec ses collègues IT (ingénieurs, développeurs, chercheurs en sécurité) : Dans le cadre d’une astreinte, ce sont les personnes que vous pourriez appeler à 2 heures du matin pour une demande urgente. Il est donc impératif d’établir des relations solides et de comprendre leur point de vue et perception de la sécurité.
- Avec les cadres supérieurs : La programmation de réunions régulières avec les responsables des principaux services liés à des risques critiques (tels que le service ingénierie, finance et légal) permettront d’examiner chaque situation. Elles contribueront à savoir comment évolue le paysage des menaces et de la sécurité, et également ce que cela signifie pour l’entreprise, et ce qu’il faut mettre en place. Ainsi, les actions à suivre pour pallier les risques encourus seront plus claires, comme par exemple le respect des règles de conformité.
- Avec les dirigeants de l’entreprise : Chaque conseil d’administration est différent. Il faut donc apporter le plus de connaissances possibles aux personnes présentes et s’assurer que le discours et les concepts présentés soient compréhensibles. Comment capter leur intérêt et leur attention ?
« Les responsables de service et dirigeants doivent se poser cette question : Comment pouvons-nous être résilients dans un monde où les cyber-incidents sont fréquents, imprévisibles et potentiellement destructeurs ? », a déclaré Eric Heddeland, VP EMEA Southern Region chez Barracuda. « La conversation doit porter sur les principaux risques que court l’entreprise – comme au travers de la supply chain par exemple – et sur les conséquences d’une attaque réussie. Le conseil d’administration veut savoir si son RSSI a réfléchi sur la manière de repousser les acteurs malveillants, mais aussi à la façon de réagir et de se remettre d’un incident, afin que les activités puissent se poursuivre et que l’entreprise ne soit pas menacée. »
Pour en savoir plus sur dernières ressources mises à disposition par Barracuda :
- Modèle de présentation : « Comment présenter la cybersécurité au conseil d’administration ? »
- Guide “CISO Script – How to talk to business leaders about security risk”
- Rapport et la checklist du DSI – Cyber Resilience Report (barracuda.com)
Pour ne rien rater de l’actualité de la distribution IT & Tech, rejoignez notre page Linkedin ChannelBiz.fr : Le média des revendeurs, intégrateurs et MSP en France