Chapitre 1
Décloisonner les activités de manière à favoriser la connectivité
En remaniant l’organigramme et en faisant de la cybersécurité et de la protection des renseignements personnels le fil conducteur entre les capacités des fonctions, votre entreprise ne sera pas seulement plus forte, elle sera également plus efficace, gérera mieux les coûts et fera la promotion d’une collaboration qui permettra de répondre directement aux exigences des parties prenantes internes et externes en matière de sécurité des produits, des services et des solutions.
Pourquoi?
- Les risques ne sont plus les mêmes. Selon les résultats du sondage mondial sur la sécurité de l’information, plus de 40 % des dirigeants n’ont jamais été aussi préoccupés par la gestion des cybermenaces auxquelles leur entreprise fait face. Ce risque disruptif ne peut être atténué que si la connexion entre les équipes fonctionnelles est améliorée.
- L’innovation est omniprésente. Le nuage est désormais le fondement de la nouvelle technologie. Les développeurs créent de nouveaux codes et définissent eux-mêmes le serveur qui les hébergera. Pourtant, dans près de 40 % des entreprises, la relation entre l’équipe de sécurité et celles de développement de produits et de R et D est considérée comme neutre, caractérisée par un faible niveau de consultation, ce qui empêche l’intégration des questions de sécurité et de protection des renseignements personnels dès la conception.
- La cybersécurité et la protection des renseignements personnels entrent en jeu trop tard. De nombreuses entreprises pensent déjà à l’après-infonuagique 2.0 et se concentrent sur la conteneurisation à titre de solution pour les technologies sans serveur et la chaîne de blocs au moyen de l’infonuagique 3.0, mais les ressources de cybersécurité continuent d’être déconnectées du processus de planification. La cybersécurité et la protection des renseignements personnels sont prises en compte dès la phase de planification que dans moins d’un quart seulement des entreprises canadiennes, ce qui peut avoir des répercussions coûteuses et forcer les concepteurs à revenir à leur planche à dessin à la dernière minute, parce qu’elles ont été conçues sans les garanties de sécurité et les paramètres de confidentialité appropriés.
Comment les entreprises peuvent-elles agir dès maintenant?
- Définir le ton donné par la direction
- Échanger les ressources de cybersécurité
- Redéfinir le cadre de R et D
Rapport sur le sondage mondial sur la sécurité de l’information 2021
40 %Les leaders en cybersécurité n’ont jamais été aussi préoccupés par la gestion des cybermenaces.
La croyance populaire selon laquelle « il n’y a pas de nuage, seulement l’ordinateur de quelqu’un d’autre » est une approche dépassée et dangereuse d’exploitation des TI et de la cybersécurité modernes. De nos jours, les nouvelles technologies permettent aux entreprises de bénéficier de tout un éventail de services infonuagiques offerts au moyen d’une infrastructure-service, d’une plateforme-service ou d’un logiciel-service, ce qui nécessite un virage majeur dans la manière dont les cyberrisques doivent être gérés.
Chapitre 2
Redéfinir le rôle de la cybersécurité et adopter de nouvelles approches de gestion des risques
Les marchés et les organisations évoluent, et les fonctions cybersécurité et protection des renseignements personnels doivent elles aussi redéfinir la manière dont elles fonctionnent. Ces fonctions critiques doivent évaluer de nouvelles méthodes de travail, adopter de nouveaux modèles et repenser les compétences requises pour effectuer un changement majeur et mieux répondre aux besoins et exigences en évolution de l’entreprise, ainsi qu’à ceux des clients et des organismes de réglementation auxquels ces groupes offrent des services.
Pourquoi?
- Les attentes des organismes de réglementation changent. La moitié des dirigeants canadiens sont d’avis que la conformité aux exigences actuelles des organismes de réglementation constitue la partie la plus exigeante de leur travail. Quelque 70 % d’entre eux prévoient que la réglementation sera de plus en plus fragmentée, et qu’ils devront consacrer plus de temps et d’efforts pour s’y conformer. En interne, des réponses partielles peuvent saper les efforts et exposer l’entreprise à des risques accrus. En repensant la conformité aux exigences réglementaires du point de vue des risques, les fonctions cybersécurité et protection des renseignements personnels peuvent aller au-delà des seuls changements à la réglementation et bâtir des relations proactives qui bénéficieront à l’entreprise.
- L’innovation suit un cycle de plus en plus rapide. La plupart des dirigeants pensent que la fonction cybersécurité protège leur entreprise, mais 73 % d’entre eux disent que cette fonction ne stimule pas vraiment l’innovation. C’est une occasion manquée. Les cycles de l’innovation sont plus courts que jamais, de sorte que la sécurité et la protection des renseignements personnels sont de plus en plus importantes. En faisant en sorte que les priorités de ces fonctions soient recentrées sur l’innovation ainsi que sur la sécurité et la protection des renseignements personnels, les entreprises peuvent créer des solutions intrinsèquement sécurisées à l’heure où les parties prenantes sont de plus en plus préoccupées par la protection des renseignements personnels dans un milieu des affaires hybride.
- Il incombe à chacun de mettre l’entreprise au cœur des priorités. Seulement 20 % des chefs de la sécurité de l’information sont convaincus d’être sur la même longueur d’onde que les autres chefs de l’entreprise. Mais il existe une véritable logique économique qui plaide en faveur de la contribution des spécialistes en cybersécurité et en protection des renseignements personnels à toutes les unités fonctionnelles. Les entreprises progressistes veulent que la fonction cybersécurité fasse appel à sa créativité pour obtenir de nouveaux produits et de nouvelles solutions numériques et réaliser des initiatives d’amélioration des activités. Lorsque les unités fonctionnelles adoptent des méthodes de travail agiles, la sécurité et la protection des renseignements personnels dès la conception deviennent réalité. Les équipes de cybersécurité doivent également s’adapter pour gérer les risques d’un point de vue commercial pour générer plus efficacement des résultats à l’échelle de l’entreprise.
Comment les entreprises peuvent-elles agir dès maintenant?
- Évaluer les compétences
- Réaligner le programme de gestion des talents
- Modifier les relations avec les organismes de réglementation
Rapport sur le sondage mondial sur la sécurité de l’information 2021
70 %prévoient que la réglementation sera de plus en plus fragmentée, et qu’ils devront consacrer plus de temps et d’efforts pour s’y conformer.
Les règlements en matière de protection des renseignements personnels ne constituent pas uniquement des exigences auxquelles les entreprises doivent se conformer. Ils les rendent responsables de la manière dont les données personnelles sont collectées et traitées et protègent les droits de chacun à sa vie privée. Ils ont comme principal objectif d’aider les entreprises à élaborer des pratiques d’affaires éthiques et à gagner la confiance des consommateurs.
Chapitre 3
Promouvoir un changement de culture grâce à une plus grande sensibilisation en interne
Le changement n’est percutant que dans la mesure où il peut être géré efficacement. Si vous décloisonnez les activités ou que vous changez la manière dont les fonctions cybersécurité et protection des renseignements personnels exercent leurs activités, l’entreprise doit le savoir. Grâce à l’éducation et à la sensibilisation en interne, les équipes interfonctionnelles se sentent responsables de la protection de renseignements personnels, de la protection des données et de la cybersécurité. Le succès de cette initiative bénéficiera à l’entreprise et à ses parties prenantes, tout en stimulant les résultats.
Pourquoi?
- Les nouveaux investissements génèrent de nouveaux risques. Selon notre récent sondage, 45 % des entreprises prévoient faire des investissements importants dans les données et la technologie au cours des 12 prochains mois. Mais moins de 30 % d’entre elles sont d’avis que la cybersécurité est un catalyseur d’innovation. Pour combler cette lacune, il faut sensibiliser les membres du personnel au fait que les capacités et les compétences en matière de sécurité et de protection des renseignements personnels peuvent favoriser les initiatives d’innovation, pour qu’ils envisagent de les acquérir plus tôt dans le processus.
- Les entreprises ne savent pas ce qu’elles ignorent. Seulement 34 % des équipes de direction disent percevoir la fonction cybersécurité comme flexible et collaborative. Il n’est pas utile de renouveler la composition de la fonction cybersécurité si l’entreprise continue de la percevoir et de percevoir ses valeurs de la même manière qu’elle le faisait auparavant. En donnant la possibilité d’apprendre à mieux connaître la fonction, l’entreprise favorise une collaboration fructueuse et l’amélioration de la rentabilité.
- Il n’est pas toujours naturel de collaborer. Un peu plus des deux tiers (68 %) des chefs de la sécurité de l’information disent que l’équipe de direction n’affirmerait pas que la fonction cybersécurité a une très grande sensibilité en affaires. Pour modifier cette perception, les équipes de cybersécurité et de protection des renseignements personnels devront faire la démonstration de ce qu’elles peuvent faire. Il sera possible de rallier les gens en racontant des histoires de réussite en matière d’innovation centrées sur la collaboration interfonctionnelle.
Comment les entreprises peuvent-elles agir dès maintenant?
- Élaborer un plan de changement
- Se concentrer sur la présentation narrative sur les canaux internes
- Souligner les réussites sans modifier les objectifs
Rapport sur le sondage mondial sur la sécurité de l’information 2021
27 %des leaders en cybersécurité déclarent que la cybersécurité est considérée comme une fonction qui stimule l’innovation par la haute direction.
Dans une entreprise qui a réussi sa transformation numérique, les fonctions cybersécurité et protection des renseignements personnels ne peuvent se concentrer uniquement sur l’atténuation des risques. En plus de protéger la valeur, elles doivent en générer et l’optimiser. Pour ce faire, elles doivent aller au-delà des paradigmes et des modèles opérationnels traditionnels en mobilisant les unités fonctionnelles pour qu’elles intègrent la cybersécurité et la protection des renseignements personnels à leurs projets dès le départ et en leur offrant de la formation, et en faisant en sorte que ces fonctions cessent d’être seulement des garde-fous et deviennent des fonctions agiles qui exercent leurs activités à titre de véritables partenaires de l’entreprise.
Que faut‑il en conclure?
Au Canada et dans le monde, les fonctions liées à la sécurité se retrouvent à un point d’inflexion critique. Les entreprises qui saisissent cette occasion pour regrouper la fonction cybersécurité avec les autres unités fonctionnelles démontrent au marché l’importance qu’elles accordent à leur sécurité et à la protection des renseignements personnels. Commencez par décloisonner les activités, adopter une nouvelle perception des risques et favoriser un changement de culture interne significatif. En le faisant dès maintenant, vous incorporez la sécurité et la protection des renseignements personnels dans tout ce que vous faites et vous permettez à votre entreprise de se démarquer de ses concurrentes.
![Les chefs de la sécurité de l’information canadiens ont la possibilité de changer la tournure des choses [infographie]](https://assets.ey.com/content/dam/ey-sites/ey-com/en_ca/topics/cybersecurity/articles/giss-2021/ey-giss-2021-canadian-highlights-infographic-banner.png.rendition.1200.800.png "Les chefs de la sécurité de l’information canadiens ont la possibilité de changer la tournure des choses [infographie]")
Les chefs de la sécurité de l’information ont la possibilité de changer la tournure des choses.
Le sondage mondial sur la sécurité de l’information de 2021 définit les mesures que les chefs de la sécurité de l’information doivent prendre pour favoriser la transformation des entreprises en cette période décisive.
Articles connexes
Résumé
Les nouveaux cyberrisques se multiplient à l’heure où les auteurs de menaces ont recours à des tactiques de plus en plus perfectionnées. Les consommateurs s’attendent à ce que la sécurité et la protection des renseignements personnels soient présentes dès la conception, même dans un contexte où l’innovation évolue à la vitesse de l’éclair. Les anciens cadres et les problèmes de communication interne constituent d’importantes lacunes que les entreprises doivent corriger dès maintenant. Adapter la gestion des risques et créer un changement de culture significatif peuvent permettre d’intégrer la cybersécurité dans les autres fonctions de votre entreprise, en vue de renforcer la résilience et de stimuler la croissance future.
