De nos jours, les cyberattaques sont devenues le lot quotidien des entreprises, à tel point que la vraie question n’est plus de savoir si une organisation deviendra la cible des cybercriminels, mais plutôt quand cela se produira… Dans ce contexte, définir la bonne gouvernance de la cybersécurité constitue une étape essentielle pour préparer au mieux son organisation. Voici quelques précisions et conseils pour vous aider à mettre en œuvre ce processus complexe.
Définition
La gouvernance de la cybersécurité, c’est la mise en place de méthodes, outils, procédures et comités dont l’objectif est de surveiller le bon déroulement de la stratégie de cybersécurité d’une entreprise – en particulier via les travaux du RSSI (Responsable de la Sécurité des Systèmes d’Information) et des autres personnes impliquées.
De manière à ce que les processus de sécurité de l’information se déroulent dans les meilleures conditions, il est nécessaire de maîtriser efficacement les risques.
Prenons un exemple concret : un RSSI souhaite mettre en place un SOC – c’est-à-dire une plateforme de supervision de la sécurité d’un système d’information – dans son entreprise. Pour réaliser cette mission, il devra :
- instaurer des processus de gouvernance afin de faire avancer les projets ;
- mesurer le degré de risque existant ;
- surveiller la mise en œuvre des plans d’actions ;
- superviser et piloter l’ensemble via des dashboards.
On associe aussi souvent l’organisation de la cybersécurité à sa gouvernance. Voici deux exemples qui illustrent bien cette concomitance des deux démarches :
- Lorsqu’il faut valider une mesure de sécurité, la question de savoir « qui fait quoi ? » apparaît rapidement, afin de déterminer qui réunir autour de la table et qui a peut prendre les décisions nécessaires.
- Lors de la rédaction de la politique de sécurité d’une entreprise, il est aussi nécessaire de mettre en forme et de documenter le système de gouvernance de la cybersécurité mis en place : on peut préciser, par exemple, qu’un RSSI est en charge du pilotage, qu’un comité opérationnel doit se réunir tous les 3 mois, etc.
Gouvernance cybersécurité : les enjeux
Un des enjeux importants dans la mise en place d’une gouvernance de la cybersécurité est de s’assurer qu’elle soit réaliste et proportionnelle à la maturité et aux risques de l’organisation. Une petite structure n’aura pas, par exemple, la capacité de mettre en œuvre des processus trop complexes, ni de mettre sur pied des comités se réunissant à une fréquence trop importante.
L’objectif est donc de se doter d’une gouvernance :
- efficace et agile ;
- utile pour les équipes ;
- structurée de manière à éviter la surcharge administrative.
Bon à savoir
Lorsqu’un RSSI entre en poste dans une organisation, la définition et la mise en place de la gouvernance de la cybersécurité constituent souvent l’une des premières étapes de sa mission.
Travailler sur la gouvernance de la cybersécurité d’une organisation permet d’améliorer la gestion de ses risques, en anticipant les procédures et outils à mettre en place en cas d’attaque. Elle implique un investissement, à la fois du côté des ressources humaines (via l’embauche ou la formation de nouveaux collaborateurs experts, dédiés à ce sujet) et de la technologie (via l’acquisition et le déploiement de logiciels de protection contre les cyberattaques).