Avec la notation, la cybersécurité fait son entrée au COMEX

L’absence de métriques laisse encore trop souvent la cybersécurité aux portes des Conseils et des Comex. La notation cybersécurité permet à chaque organisation de mieux évaluer son exposition aux risques, sa capacité à faire face à un incident, et de trouver de nouveaux leviers de performance. Par Francois Gratiolet, expert en cybersécurité

https://www.cyrating.com/product/

L’été 2017 a été témoin de multiples fuites de données avec les attaques WannaCry et NotPetya, qui ont touché entre autres Saint-Gobain, FedEx, Maersk, le système national de santé britannique, Deutsche Bahn ou Telefonica. De nombreux dirigeants ont alors pris conscience de l’ampleur des risques économiques et réputationnels auxquels sont confrontées leurs entreprises. Pour autant, la responsabilité de la cybersécurité reste encore souvent portée par la seule Direction des Systèmes d’Information (DSI) ou du Responsable de la Sécurité des Systèmes d’Information (RSSI).

L’effet ciseau de la conformité et des actionnaires « activistes »

L’entrée en vigueur prochaine des réglementations européennes, telles que le RGPD et la directive NIS, devrait renforcer la pression sur les dirigeants de sociétés en Europe. Parallèlement, les actionnaires dits « activistes » s’intéressent de manière croissante aux enjeux de cybersécurité et pourraient vouloir sanctionner une mauvaise gestion de risque cyber en bloquant la réélection de certains administrateurs par exemple.

Il est donc désormais plus que temps d’adopter une approche professionnelle et systématique de gestion des risques en la matière, en identifiant des indicateurs clés de performance et de pilotage. L’an dernier, le World Economic Forum plaidait d’ailleurs pour actionner des principes et des outils de résilience cyber à destination des Conseils d’administration.

Plus de visibilité et d’efficacité attendues

Le guide sur la cybersécurité de la Bourse de New York estimait en 2015 que les Conseils échouent à mettre en œuvre et à suivre des programmes de cybersécurité efficaces, tout en négligeant les principaux signaux d’alarme. Ils ne parviennent pas non plus à assurer des contrôles internes pour protéger les informations personnelles de leurs parties prenantes, ainsi qu’à les informer correctement en cas d’attaque.

James Lam, administrateur de la banque en ligne américaine E*TRADE, déclarait récemment qu’il aimerait recevoir davantage de « mesures et d’analyses de risques cybernétiques, y compris des commentaires d’experts, sur l’environnement des menaces, les expositions aux risques et l’efficacité des contrôles clés ». Il souhaiterait également, en tant qu’administrateur, pouvoir passer en revue « les mesures d’assurance sur l’efficacité globale du programme et les signaux d’alerte rapides sur les menaces futures ».

Les dirigeants peinent à évaluer les performances en cybersécurité de leurs organisations, car ils manquent de données objectives, de repères et de points de comparaison.

Evaluer la performance cyber et progresser

Pour répondre à ces besoins, des sociétés de notation ont vu le jour aux États-Unis, comme BitSight ou Ratingcy. CYRATING est la première initiative de ce genre en Europe. Véritable outil de pilotage et de benchmark, la notation en cybersécurité permet de renforcer la confiance des parties prenantes et d’améliorer à long terme la performance cyber des organisations.

Dans le contexte du RGPD, elle offre également un support aux organisations qui sont incitées à évaluer la posture de cybersécurité de leurs centaines, voire milliers, de fournisseurs. Grâce à leur évaluation, les organisations trouveront une base objective pour identifier leurs fournisseurs les plus à risque et mieux allouer leurs ressources.

En donnant aux dirigeants des clés d’analyse de la performance cyber de leur organisation, la notation favorise une véritable appropriation des enjeux et par là-même leur appropriation par l’ensemble des salariés. A terme, cette acculturation améliorera la résilience digitale des entreprises, et contribuera à la création de valeur pour les actionnaires. //


LE CAS D’ECOLE EQUIFAX

143 millions de données personnelles de clients américains se sont retrouvées dans la nature. Equifax a perdu plus de 5 Mds$ en capitalisation boursière en deux jours, soit 35 % de sa valorisation ! Son CEO, son DSI et son RSSI ont alors dû quitter la société… Il a été révélé, au cœur de la crise en septembre 2017, que la société avait été évaluée par une société de notation depuis plusieurs mois avec une note de « F » sur la sécurité des applications web. Cependant, les dirigeants d’Equifax étaient-ils au courant de cette notation ?