Comment passe‑t‑on d’une sécurité ajoutée après coup à une sécurité intégrée?

Les chefs de la sécurité de l’information qui développent et encouragent une culture de la sécurité dès la conception peuvent jouer un rôle crucial comme acteurs de la transformation.

Devant l’augmentation des cybermenaces, de nombreuses organisations prennent des mesures défensives et ratent une occasion en or d’obtenir un avantage concurrentiel en accordant la priorité au renforcement de la cybersécurité et de la protection des renseignements personnels dans le cadre de leur stratégie.

Pour passer à une culture de sécurité dès la conception, les chefs de la sécurité de l’information doivent adopter les réalités commerciales que connaissent leurs organisations dans un marché disruptif. Et le reste de l’entreprise, en commençant par le conseil d’administration, doit s’assurer que la cybersécurité occupe une place à la table de la direction.

La transition est une responsabilité partagée : les chefs de la sécurité de l’information peuvent – et doivent – s’engager à collaborer davantage avec le reste de l’entreprise, tandis que les conseils d’administration, les dirigeants et les autres fonctions de l’entreprise doivent s’engager dans une relation de travail plus étroite avec leurs collègues de la cybersécurité. C’est seulement de cette façon que les équipes de la cybersécurité pourront jouer un rôle crucial comme acteurs de la transformation.

Dans le  sondage sur la sécurité de l’information d’EY, nous nous penchons sur l’évolution du rôle de la fonction de cybersécurité selon trois perspectives :

1. Défaillance systémique de la communication

Les pirates activistes ont été la deuxième source de violations importantes d’après le rapport. L’augmentation des attaques d’activistes reflète à quel point la fonction de cybersécurité doit être mieux comprise de l’environnement d’affaires de l’organisation. Les chefs de la sécurité de l’information qui ne collaborent pas avec leurs collègues au sein de l’entreprise seront inévitablement laissés de côté par d’autres fonctions et secteurs d’activité qui pourraient, par exemple, lancer de nouveaux produits ou services exposant l’organisation à de nouvelles menaces.

Les premiers résultats du sondage mondial d’EY sur les risques auprès d’administrateurs ont relevé la « disruption technologique » comme l’occasion stratégique la plus importante pour les organisations. Le fait que beaucoup d’organisations saisissent cette occasion pour réaliser une transformation technologique exige également des chefs de la sécurité de l’information, des membres du conseil d’administration et de la haute direction ainsi que de l’entreprise qu’ils collaborent encore plus étroitement. C’est ainsi qu’ils pourront intégrer les solutions de cybersécurité à une étape beaucoup plus précoce des nouvelles initiatives commerciales – une culture de sécurité dès la conception.

Déficience de la sécurité dès la conception

36 %

des organisations déclarent que la cybersécurité est présente dès l’étape de planification d’un nouveau projet commercial.

  • La menace en matière de cybersécurité et de protection des renseignements personnels augmente et s’étend. Environ six organisations sur dix (59 %) ont connu un incident important dans les 12 derniers mois, et selon le sondage mondial d’EY sur les risques auprès d’administrateurs, 48 % des conseils d’administration pensent que les cyberattaques et les violations de données auront plus qu’une incidence modérée sur leur entreprise au cours des 12 prochains mois. Près d’un cinquième de ces attaques (21 %) provient d’« hacktivistes » (soit des activistes technologiques, politiques et sociaux) – au deuxième rang seulement après le crime organisé (23 %).
  • Seules 36 % des organisations déclarent que la cybersécurité est prise en compte dès l’étape de planification d’un nouveau projet commercial.
  • Les dépenses en cybersécurité sont motivées par des priorités de défense plutôt que par l’innovation et la transformation : 77 % des dépenses liées à de nouvelles mesures sont consacrées au risque ou à la conformité plutôt qu’à l’occasion d’affaires.
  • Un répondant sur cinq dépense 5 % ou moins de son budget de cybersécurité pour soutenir de nouvelles mesures.

2. Renforcer la confiance en rétablissant les relations

Ainsi, avec la sécurité dès la conception comme objectif, les chefs de la sécurité de l’information et leurs collègues au sein de l’organisation – notamment les fonctions de marketing, de R et D et des ventes – doivent établir des relations plus étroites afin d’améliorer la compréhension de la cybersécurité pour l’entreprise en général et répondre à l’objectif de sécurité dès la conception. 

Une collaboration accrue avec d’autres fonctions doit être une priorité, mais la cybersécurité doit également créer des relations beaucoup plus productives avec le conseil d’administration, les membres de la haute direction et les dirigeants.

Le moment est venu de rétablir les relations

59 %

des organisations déclarent que la relation entre la fonction de cybersécurité et les secteurs d’activité est au mieux neutre, voire empreinte de méfiance ou non existante.

    -
  • La relation entre la cybersécurité et le marketing est au mieux neutre, voire empreinte de méfiance ou non existante, selon 74 % des organisations; 64 % disent la même chose pour l’équipe de recherche et développement; 59 % pour les secteurs d’activité. Les équipes de cybersécurité obtiennent même de piètres résultats sur leur relation avec la fonction finances dont elles dépendent pour l’autorisation du budget, 57 % des entreprises déclarant qu’elles ont des progrès à faire.
  • Près de la moitié des répondants (48 %) déclare que le conseil d’administration n’a pas encore une pleine compréhension du risque lié à la cybersécurité; 43 %, eux, disent que le conseil ne comprend pas entièrement la valeur et les besoins de l’équipe de cybersécurité.
  • Le sondage mondial d’EY sur les risques auprès d’administrateurs révèle que le conseil d’administration manque de confiance en la cybersécurité de son organisation, 50 % – au mieux – déclarant qu’ils ne sont qu’assez confiants.
  • Seules 54 % des organisations mettent régulièrement la cybersécurité à l’ordre du jour du conseil d’administration.
  • Six organisations sur dix déclarent qu’elles ne peuvent quantifier l’efficacité de leurs dépenses en cybersécurité auprès de leur conseil d’administration.
 

3. Le chef de la sécurité de l’information devient l’agent de transformation

En entretenant des relations plus solides au niveau de l’entreprise et du conseil d’administration, en ayant une meilleure compréhension des impératifs commerciaux de l’organisation et la capacité de prévoir l’évolution des cybermenaces, les chefs de la sécurité de l’information peuvent devenir un élément central de la transformation de leur organisation. 

Ils devront changer leur manière de penser et développer de nouvelles compétences dans des domaines comme la communication, la négociation et la collaboration. Les chefs de la sécurité de l’information qui deviendront de puissants agents de changement seront ceux qui, plutôt que de dire « non » à de nouveaux projets diront « oui, mais… »

La fonction de cybersécurité vue comme un obstacle à l’innovation

7 %

des organisations décriraient la cybersécurité comme un vecteur d’innovation; la majorité d’entre elles ont choisi des termes comme « aux fins de la conformité » et « motivée par un sentiment d’aversion pour le risque ».

    -
  • Seules 7 % des organisations décriraient la cybersécurité comme un vecteur d’innovation; la plupart ont choisi des termes comme « aux fins de la conformité » et « motivée par un sentiment d’aversion pour le risque ».
  • Près de la moitié des organisations (48 %) déclarent que le principal facteur motivant de nouvelles dépenses est la réduction des risques et 29 % citent les exigences réglementaires. Seules 9 % mentionnent la facilitation de nouveaux projets d’affaires.
  • Six organisations sur dix n’ont pas de chef de la cybersécurité au conseil d’administration ou au sein de l’équipe de direction.
 

Recommandations d’EY en bref

Selon les résultats du sondage sur la sécurité de l’information, il est clair qu’il y a aujourd’hui une réelle occasion de placer la cybersécurité au cœur de la transformation de l’entreprise et de l’innovation. Pour cela, les conseils d’administration, les équipes de la haute direction, les chefs de la sécurité de l’information et les dirigeants au sein de l’entreprise devront travailler ensemble pour :

  1. Établir la cybersécurité comme un important créateur de valeur en transformation numérique — intégrer la cybersécurité à l’étape de planification de tout nouveau projet. Mettre à profit une approche de sécurité dès la conception pour naviguer entre les risques liés à la transformation, la conception des produits ou des services dès le début (au lieu de le faire après coup).
  2. Établir des relations de confiance avec chaque fonction de l’organisation — analyser les principaux processus d’affaires avec les équipes de cybersécurité pour comprendre comment ils pourraient être touchés par les cyberrisques et de quelle façon l’équipe de cybersécurité peut contribuer à améliorer la fonction commerciale au sein de l’entreprise.
  3. Mettre en place des structures de gouvernance selon les objectifs — élaborer un ensemble d’indicateurs clés de performance et d’indicateurs clés de risque pouvant être utilisés pour communiquer une perspective axée sur les risques dans l’information destinée aux dirigeants et aux membres du conseil d’administration.
  4. Se concentrer sur la participation du conseil d’administration — communiquer dans un langage que le conseil d’administration comprend; prévoir un programme de quantification des risques pour communiquer plus efficacement les cyberrisques.
  5. Évaluer l’efficacité de la fonction de cybersécurité pour permettre au chef de la sécurité de l’information d’acquérir de nouvelles compétences — déterminer les forces et les faiblesses de la fonction de cybersécurité pour comprendre quelles compétences le chef de la sécurité de l’information devrait acquérir et comment rendre cette acquisition possible.
  • Qu’est-ce que l’intégration de la sécurité dès la conception?

    La sécurité dès la conception est une nouvelle approche qui intègre la cybersécurité dans un projet dès le début, plutôt qu’après coup, ce qui permet d’innover en toute confiance. C’est une approche stratégique et pragmatique qui s’applique à tous les secteurs de l’organisation. La sécurité dès la conception reste dans le cycle de vie du projet pour aider à la gestion en cours et à l’atténuation des risques liés à la sécurité.

Résumé

Selon une nouvelle étude d’EY, si l’on exclut la nécessité de conformité, un gouffre sépare la cybersécurité du reste de l’entreprise. Pour combler ce fossé, les chefs de la sécurité de l’information doivent prouver la valeur de ce qu’ils communiquent dans un langage que les membres des conseils d’administration et de la haute direction peuvent comprendre; et l’entreprise doit adopter la cybersécurité dès le début et tout au long du cycle de vie de chaque projet.