Entreprise : que peut exiger le conseil de la direction en matière de cybersécurité ?

Extrait du guide de l’Institut Français des administrateurs (IFA) sur la Sécurité numérique et la gouvernance, 2024.

Logo Ifa
Par IFA Publié le 17 avril 2024 à 18h00
conseil d'administration, entreprise, sécurité numérique, IFA, guide, gouvernance, employé, sécurité, ressources humaine, risque, évaluation, cybersécurité, information, RSSI, DSSI, phishing, test, maitrise, SOC, SIEM, budget, plan,
Entreprise : que peut exiger le conseil de la direction en matière de cybersécurité ? - © Economie Matin

Quel niveau d’information le conseil doit-il exiger de la part de la direction ?

Le conseil doit, en interaction avec la direction générale et la DSI, examiner les indicateurs et tableaux de bord pertinents compte tenu de l’activité de l’entreprise, de son secteur, de la place du numérique dans ses opérations (et de sa complexité), et de la réglementation éventuellement spécifique, en tenant compte des évolutions et des ajustements.

Des exemples d’indicateurs :

  • En matière d’amélioration des moyens de détection et de prévention : mise en place d’un centre opérationnel de sécurité (SOC) et d’un dispositif de gestion des informations et des événements de sécurité (SIEM), couverture de la double ou triple authentification (ou dispositifs plus avancés), plans de progrès.
  • En volumétrie d’événements détectés (tentatives d’intrusion, suspicions d’intrusion, intrusions avérées), par nature et niveaux de gravité, les processus d’escalade mis en œuvre, les retours d’expérience sur la manière dont les alertes ont été traitées et l’impact sur l’appréciation des risques/ le dispositif de maîtrise des risques.
  • Dans le domaine des ressources humaines : rotation (démissions) des équipes rattachées à la DSSI, taux de réalisation des formations, taux de couverture et d’ouverture des e-mails sur les campagnes internes de test de réaction au phishing.

Quel que soit le niveau d’expertise du conseil sur les enjeux liés à la cybersécurité, le conseil veille à ce que l’information qui lui est remontée soit claire, sans ambiguïté et compréhensible dans les concepts (le jargon est à proscrire).

Sur les moyens et ressources : ressources allouées à la sécurité digitale : humains, financiers, « sous-traitants », technologiques, certifications, formation et sensibilisation.

Ifa, Guide Sécurité Numérique Et Gouvernance, 2024 Couverture

Comment le conseil aborde-t-il la question des moyens humains, matériels/techniques et financiers ?

Le conseil demande à prendre connaissance du dispositif relatif à l’organisation de la cybersécurité, et notamment suivi centralisé au niveau du groupe versus filiales, responsabilités, rattachements hiérarchiques, articulation fonctions techniques / métiers, rôle et engagement du comité exécutif.

Le rattachement hiérarchique du RSSI doit être revu par le conseil, et les guides préconisent généralement que le RSSI ne soit pas rattaché à la DSI. Le conseil s’assure que le RSSI a une voie d’accès directe au conseil, en particulier en cas de rattachement à la DSI, et que le RSSI est entendu par le conseil de façon régulière et en l’absence de la DSI.

S'agissant d’un sujet éminemment technique, le conseil s’assure que la qualité (compétence) et le nombre en ressource humaine sont suffisants, notamment en prenant l’avis des auditeurs (externes ou interne).

S’agissant des PME dans lesquelles il peut ne se trouver qu’un seul responsable de la sécurité des systèmes d’information (RSSI), le conseil s’assure que les ressources humaines ont pris en considération les risques psychosociaux généralement associés à ces fonctions.

Le conseil s’assure que les plans d’action de la DSI et du RSSI sont chiffrés pour les ressources et les investissements envisagés au regard du risque résiduel accepté par le conseil, afin de bien prendre en compte les dimensions financières et budgétaires des investissements prévus (humains, logiciels et matériels). Le conseil (ou le comité d’audit) doit s’assurer de la bonne inscription des budgets associés dans le cadre des étapes d’approbation du budget, au niveau du groupe et des filiales.

De façon régulière, lors des points annuels (ou plus fréquemment), le conseil s’enquiert de l’avancement des projets de mise en place ou d’amélioration des dispositifs en lien avec les retours d’expérience et les audits.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Logo Ifa

Créé en 2003, l’IFA – Institut Français des Administrateurs – est une association indépendante qui rassemble et représente les administratrices et administrateurs engagés au sein de toutes formes d’organisations dans l’exercice de leurs responsabilités. Dans un rôle d’accompagnement, d’information, de formation et en tant qu’acteur de référence des principes de bonne gouvernance, l’IFA veille à promouvoir une gouvernance responsable, créatrice de valeur durable en veillant au bien commun.

Aucun commentaire à «Entreprise : que peut exiger le conseil de la direction en matière de cybersécurité ?»

Laisser un commentaire

* Champs requis