Les 5 questions Cybersécurité que chaque dirigeant devrait se poser

La politique de cybersécurité doit être régulièrement reconsidérée et impliquer les responsables de la sécurité, les PDG et les membres du conseil d’administration. Pour aider à comprendre les réalités des cybermenaces, SentinelOne pousse les dirigeants à se poser les questions clés.

Prenez-vous la cybersécurité au sérieux et êtes-vous convaincu de son importance ?

L’équipe cybersécurité ne pourra pas atteindre ses objectifs, si la cybersécurité n’est pas la priorité du PDG et le RSSI doit avoir le soutien du conseil d’administration.

Le CEO doit s’impliquer auprès des équipes et comprendre ce qu’elles font au quotidien : 

• Connaissez-vous les membres de l’équipe de cybersécurité ?
• A quelle fréquence échangez-vous avec eux ?

Prévoir une fois par mois pour faire un point de situation et une fois par jour en cas d’incident.

Si c’est le cas, y accordez-vous les ressources suffisantes ?

Le CEO doit accorder les investissements raisonnables et nécessaires dont les équipes de sécurité ont besoin pour leur mission.

Ces ressources (budgétaires, humaines ou technologiques) doivent être intégrées au plan annuel d’investissement pour garantir que tout est mis en œuvre pour protéger l’entreprise, ses collaborateurs, clients et partenaires.

Avez-vous repensé votre stratégie de cybersécurité pour passer d’une posture tactique à une approche plus stratégique ?

Ce changement de point de vue permet aux dirigeants d’être plus impliqués sur les questions de cybersécurité. Les équipes de cybersécurité doivent davantage prendre en compte les aspects business et s’inscrire dans la stratégie globale.

Ne pas se préoccuper que de l’aspect technologique, mais mesurer les risques pesant sur la réputation, la responsabilité juridique des dirigeants, l’impact sur les actionnaires… 

Il faut établir un rythme régulier et définir des critères de communication entre l’équipe technique et les dirigeants.

Chacun doit prendre en considération les problématiques de l’autre : 

• Comment travaillez-vous avec les responsables des unités opérationnelles ? Comment communiquez-vous les risques ?
• Quels sont les facteurs clés et les paramètres de réussite d’un programme de cybersécurité ayant du sens pour un dirigeant ? 
• Quelle valeur apportez-vous à l’entreprise ?

Prenez-vous en compte l’impact des questions géopolitiques dans votre stratégie de cybersécurité ?

Les différentes tensions internationale (Israël, Ukraine, …) s’accompagnent de nouvelles cyberattaques. Les chercheurs en cybersécurité ont observé l’émergence de nouvelles formes d’attaques comme l’hacktivisme mêlant militantisme et compétences en piratage informatique, pour favoriser des changements politiques ou sociétaux. 

La multiplication des ransomwares attribuées potentiellement à des groupes de hackers russes en est la preuve. Les conflits internationaux doivent inciter les entreprises à relever leur niveau de sécurité.

Êtes-vous au fait des dernières règlementations et de votre responsabilité personnelle en cas de non-respect ?

Selon le RGPD, si des données personnelles d’utilisateurs ont été volées, une déclaration auprès de la CNIL est obligatoire dans les 72 heures suivant la cyberattaque. 

En cas de non-respect, une amende, fixée à 4 % du chiffre d’affaires mondial annuel de l’entreprise, peut être exigée. Son montant peut aller jusqu’à 20 millions d’euros, en cas de non-respect.

La responsabilité personnelle civile et/ou pénale du dirigeant est donc engagée. On peut lui reprocher une négligence ou insuffisance de préparation de son entreprise, un manquement à l’obligation d’assurer la sécurité des données ou un défaut de notification de la violation de données aux autorités de contrôle et aux personnes concernées. Il peut encourir jusqu’à 5 ans d’emprisonnement et 300.000 EUR d’amende en matière pénale.

En résumé : être stratégique, regarder vers l’avenir, s’assurer de ne pas être juste préparés aux problèmes d’hier mais aux défis de demain.

Source Expertise SentinelOne – PinnacleOne, groupe d’analyse stratégique des risques et de conseil, dirigé par les experts Chris Krebs et Alex Stamos.