Comprendre les risques cyber est une priorité. Et pourtant, selon 35 % des petites entreprises (Monde), les cadres supérieurs ne perçoivent toujours pas les cyberattaques comme un risque important.
RSSI : Faire comprendre le risque cyber !
Alors, comment faire en sorte que les dirigeants soient au courant des menaces pesant sur leur entreprise ? Riaz Lakhani, CISO chez Barracuda Networks évoque ainsi trois réflexions à mener pour faire comprendre le cyber risque au sein de l’entreprise « Les RSSI doivent être des passeurs d’informations. Ils doivent être capables de sensibiliser les personnes à tous les niveaux de l’entreprise, de les aider à comprendre et à adopter des politiques de sécurité, des réponses aux incidents, etc. Le temps passé à écouter et à apprendre de ses principales parties prenantes est l’un des meilleurs investissements que l’on puisse faire ».
Le RSSI en action
Voici les trois profils de collaborateurs avec qui chaque RSSI devrait discuter des sujets majeurs.
- Les collègues IT (ingénieurs, développeurs, chercheurs en sécurité)
Dans le cadre d’une astreinte, ce sont les personnes à appeler à 2 heures du matin pour une demande urgente. Il est impératif d’établir des relations solides et de comprendre leur point de vue et perception de la sécurité.
- Les cadres supérieurs
La programmation de réunions régulières avec les responsables des principaux services liés à des risques critiques (service ingénierie, finance et légal) permettront d’examiner chaque situation. Elles contribueront à savoir comment évolue le paysage des menaces et de la sécurité, et ce que cela signifie pour l’entreprise, ce qu’il faut mettre en place. Ainsi, les actions à suivre pour pallier les risques encourus seront plus claires, par exemple le respect des règles de conformité.
- Les dirigeants de l’entreprise
Chaque conseil d’administration est différent. Il faut donc apporter le plus de connaissances possibles aux personnes présentes et s’assurer que le discours et les concepts présentés soient compréhensibles. Il faut capter leur intérêt et leur attention.
« Les responsables de service et dirigeants doivent se poser cette question : Comment pouvons-nous être résilients dans un monde où les cyber-incidents sont fréquents, imprévisibles et potentiellement destructeurs ? » Eric Heddeland, VP EMEA Southern Region chez Barracuda. « La conversation doit porter sur les principaux risques que court l’entreprise – comme au travers de la supply chain par exemple – et sur les conséquences d’une attaque réussie. Le conseil d’administration veut savoir si son RSSI a réfléchi sur la manière de repousser les acteurs malveillants, mais aussi à la façon de réagir et de se remettre d’un incident, afin que les activités puissent se poursuivre et que l’entreprise ne soit pas menacée. »
Source The CISO script: How to talk to business leaders about security risk – Barracuda Networks
Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr
Le métier du RSSI en 2023 décrypté !
Comment les RSSI peuvent-ils gagner la bataille contre les cybercriminels ?
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !