Les dirigeants d’entreprise ne peuvent plus remettre à plus tard leur responsabilisation en matière de cybersécurité et de résilience
La résilience des données et la cybersécurité sont restées, pendant de nombreuses années, la responsabilité des équipes de sécurité informatique, car considérées comme des enjeux pour les « experts » par les dirigeants d’entreprise, ce qui n’était pas incohérent non plus.
Mais avec l’intensification de la dépendance des entreprises envers la technologie et avec la probabilité toujours plus forte de subir des violations de données (tellement qu’on ne parle plus de « si cela arrive » mais plutôt de « quand cela va arriver »), il est impossible de vivre au quotidien sans intégrer l’enjeu de la cybersécurité désormais.
La responsabilité croissante des entreprises en matière d’exigences réglementaires a connu un nouvel élan avec les récentes réglementations en matière de cybersécurité (notamment la directive NIS2 et le règlement DORA). A présent, toute l’équipe dirigeante, et pas seulement le RSSI, est tenue directement responsable en cas de violation, à la fois pour la gestion et la formation aux mesures de cybersécurité, pouvant aboutir à des sanctions en cas de non-conformité.
Les entreprises ont de plus en plus conscience qu’elles prennent un vrai risque en considération que leurs équipes de sécurité et leurs fournisseurs tiers sont en totale maîtrise de la situation, et qu’elles mettent en jeu leur réputation entière dans le cas où apparaissent des lacunes et que les processus ne sont pas suffisamment encadrés. Cette situation impose aux dirigeants d’intervenir et de s’intéresser à ces processus de plus près.
Focus sur les dirigeants d’entreprise
Il serait étonnant que les dirigeants développent immédiatement une expertise en cybersécurité et résilience. Cela risque d’être la première fois pour beaucoup d’entre eux qu’ils s’intéressent véritablement aux plans de résilience des données et de réponse aux incidents qu’a mis en place l’entreprise.
En plus d’accepter le fait que les violations de données sont très fréquentes aujourd’hui, dans le contexte de montée en puissance des cybermenaces et de durcissement des réglementations, il est important pour les dirigeants de choisir des réponses proactives qui renforceront les défenses de l’entreprise et d’appliquer à la lettre les exigences des réglementations.
En effet, toute une liste de responsabilités incombe désormais aux dirigeants avec les nouveaux règlements comme NIS2. Cela inclue la gestion active et directe des risques de cybersécurité et de la stratégie de sécurité de l’entreprise, la gestion et atténuation des risques organisationnels, et la mise en place de mesures pour signaler les incidents.
Dans le cas d’un échec de mise en conformité aux lois, les dirigeants seront tenus personnellement responsables et pourront se voir attribuer une amende jusqu’à 7 millions d’euros, ou équivalent à 1,4% du chiffre d’affaires annuel des plus grandes entreprises.
Pour toutes ces raisons, la résilience de l’entreprise et la préparation à la réponse aux incidents doivent devenir une priorité pour les dirigeants, impliquant des investissements dans de nouveaux moyens de sécuriser les systèmes et des formations dédiées, mais aussi des efforts de responsabilisation des parties prenantes internes.
C’est parce que les dirigeants d’entreprises ont le pouvoir d’inciter les acteurs concernés à assumer leurs responsabilités que les réglementations comme NIS2 les englobent, non pas parce qu’ils doivent être responsables de tout.
S’il commence en interne, le processus de responsabilisation va souvent plus loin. Ce sont les dirigeants d’entreprise qui souhaitent prolonger cette responsabilité en externe, au niveau de leurs partenaires et leurs fournisseurs clés. Les maillons essentiels de la chaîne de résilience et de récupération des données, qui intègrent les partenaires de la chaîne d’approvisionnement, les fournisseurs de services informatiques et de sécurité, et les fournisseurs de Backup as-a-Service (BaaS), ne peuvent être ignorés.
De quoi sont responsables les fournisseurs tiers ?
Plus de quatre entreprises sur dix (44%) comptent développer leur collaboration avec des tiers durant les cinq prochaines années, selon une enquête mondiale conduite par EY sur la gestion des risques liés aux tiers (Global Third-Party Risk Management Survey).
Cela signifie que, si cette dynamique se poursuit, il faudra surveiller plus en détails les fournisseurs tiers, et en particulier les mesures qu’ils appliquent en matière de résilience de données et de réponse aux incidents, là où un simple accord ou une certification suffisait amplement avant pour donner confiance aux dirigeants. Les fournisseurs tiers doivent s’attendre à être davantage mis à contribution, maintenant que la responsabilité de l’entreprise est devenue un facteur incontournable.
Afin de sécuriser leur chaîne de possession de la résilience des données et d’examiner chaque étape du processus, ce nouveau paradigme peut s’incarner dans une renégociation des accords de niveau de service (SLA) ou encore des enquêtes plus approfondies.
Il sera également demandé aux fournisseurs tiers de faire preuve de plus de transparence, dans les cas où l’externalisation du risque et de la responsabilité à un tiers seront impossibles. Cela permet de toujours identifier le point de défaillance en cas de violation et d’y apporter une réponse avant qu’une sanction soit nécessaire.
Apporter une réponse directe au problème
Il n’est malheureusement pas possible d’atteindre un niveau de sécurité totale avec ces mesures, même si elles permettent sans aucun doute de renforcer la résilience globale des données. L’objectif est surtout de diminuer le risque au maximum, tout en se maintenant prêt à intervenir si un incident survient.
Enfin, il ne faut pas oublier que l’étape de test des accords de niveau de service, des processus et de la technologie utilisée est la plus importante pour les certifier et réussir à renforcer la résilience de l’entreprise. Afin de faire toutes les recherches nécessaires à l’instauration d’un climat de confiance sur leur chaîne de données, via leurs fournisseurs, les dirigeants doivent conduire des tests cohérents et complets, et tester ces mesures dans les conditions les plus difficiles, par exemple quand certaines parties prenantes sont en vacances ou quand les équipes de sécurité sont très occupées.
Le passage de la théorie à la pratique et l’application de mesures concrètes sont des clés majeures dans cette problématique. Si l’on prend la métaphore de la natation, il faut bien réussir à se jeter à l’eau une première fois si l’on veut apprendre à nager ; et porter des brassards pour ne pas se noyer dès la première tentative.
Par Rick Vanover, VP Product Strategy chez Veeam
