Entreprise : que peut exiger le conseil de la direction en matière de cybersécurité ?

Quel niveau d’information le conseil doit-il exiger de la part de la direction ?

Le conseil doit, en interaction avec la direction générale et la DSI, examiner les indicateurs et tableaux de bord pertinents compte tenu de l’activité de l’entreprise, de son secteur, de la place du numérique dans ses opérations (et de sa complexité), et de la réglementation éventuellement spécifique, en tenant compte des évolutions et des ajustements.

Des exemples d’indicateurs :

• En matière d’amélioration des moyens de détection et de prévention : mise en place d’un centre opérationnel de sécurité (SOC) et d’un dispositif de gestion des informations et des événements de sécurité (SIEM), couverture de la double ou triple authentification (ou dispositifs plus avancés), plans de progrès.

• En volumétrie d’événements détectés (tentatives d’intrusion, suspicions d’intrusion, intrusions avérées), par nature et niveaux de gravité, les processus d’escalade mis en œuvre, les retours d’expérience sur la manière dont les alertes ont été traitées et l’impact sur l’appréciation des risques/ le dispositif de maîtrise des risques.

• Dans le domaine des ressources humaines : rotation (démissions) des équipes rattachées à la DSSI, taux de réalisation des formations, taux de couverture et d’ouverture des e-mails sur les campagnes internes de test de réaction au phishing.

Quel que soit le niveau d’expertise du conseil sur les enjeux liés à la cybersécurité, le conseil veille à ce que l’information qui lui est remontée soit claire, sans ambiguïté et compréhensible dans les concepts (le jargon est à proscrire).

Sur les moyens et ressources : ressources allouées à la sécurité digitale : humains, financiers, « sous-traitants », technologiques, certifications, formation et sensibilisation.

Comment le conseil aborde-t-il la question des moyens humains, matériels/techniques et financiers ?

Le conseil demande à prendre connaissance du dispositif relatif à l’organisation de la cybersécurité, et notamment suivi centralisé au niveau du groupe versus filiales, responsabilités, rattachements hiérarchiques, articulation fonctions techniques / métiers, rôle et engagement du comité exécutif.

Le rattachement hiérarchique du RSSI doit être revu par le conseil, et les guides préconisent généralement que le RSSI ne soit pas rattaché à la DSI. Le conseil s’assure que le RSSI a une voie d’accès directe au conseil, en particulier en cas de rattachement à la DSI, et que le RSSI est entendu par le conseil de façon régulière et en l’absence de la DSI.

S'agissant d’un sujet éminemment technique, le conseil s’assure que la qualité (compétence) et le nombre en ressource humaine sont suffisants, notamment en prenant l’avis des auditeurs (externes ou interne).

S’agissant des PME dans lesquelles il peut ne se trouver qu’un seul responsable de la sécurité des systèmes d’information (RSSI), le conseil s’assure que les ressources humaines ont pris en considération les risques psychosociaux généralement associés à ces fonctions.

Le conseil s’assure que les plans d’action de la DSI et du RSSI sont chiffrés pour les ressources et les investissements envisagés au regard du risque résiduel accepté par le conseil, afin de bien prendre en compte les dimensions financières et budgétaires des investissements prévus (humains, logiciels et matériels). Le conseil (ou le comité d’audit) doit s’assurer de la bonne inscription des budgets associés dans le cadre des étapes d’approbation du budget, au niveau du groupe et des filiales.

De façon régulière, lors des points annuels (ou plus fréquemment), le conseil s’enquiert de l’avancement des projets de mise en place ou d’amélioration des dispositifs en lien avec les retours d’expérience et les audits.