Pour éviter des cybers attaques, il faut arrêter de croire que la sécurité numérique n’est le problème que des techniciens du digital et des informaticiens. Les dirigeants ont aussi une part de responsabilité dans la prévention de ces attaques.

Georges Ataya, directeur académique de l'Executive Master in Cybersecurity Management et Vice-President de la Belgian Cybersecurity Coalition, a pris la parole dans l’Écho pour alerter sur le manque d’attention apportée par les dirigeants en matière de protection digitale et propose ses solutions pour une meilleure gouvernance. 

 “Qui doit faire quoi pour empêcher des incidents évitables ?” Le constat est là, la plupart des cyberattaques pourraient être évitées si la sécurité digitale était mieux prise en compte tout au long de la chaîne de responsabilité. À vouloir trop externaliser les professionnels du digital et de la cybersécurité, on en oublie que les menaces ne peuvent être résolues rapidement, mais qu’il faut au contraire “créer des couches de protection, l’une au-dessus de l’autre, pour arriver à plusieurs périmètres de sécurité, plus difficilement franchissable”. 

Pour mettre en place des systèmes efficaces, les décisions techniques ne sont pas la seule réponse : une bonne gouvernance, impliquant les conseils d’administration, les comités de direction, les responsables informatiques et les responsables de la sécurité de l’information constituent une base solide pour prévenir des cyberattaques. 

Chacun de ces acteurs ne doit pas être expert en la matière, mais quelques bonnes pratiques peuvent facilement être implémentées pour réduire les risques et savoir réagir, si besoin. 

1. Le conseil d’administration

Leurs membres évitent souvent de s’intéresser au domaine de la cybersécurité, préférant garder une “réelle ignorance”, pourtant quelques lignes directrices peuvent permettre une meilleure implication et ainsi une meilleure préparation face aux risques. 

Trois questions simples constituent la base de cet exercice : 

• Quelle est la visibilité des risques et quels risques importants n’ont pas encore été atténués ?
• Qui dirige la sécurité de l’information et quelles sont ses doléances et demandes ?
• Comment reprendre les opérations normales pour donner suite à un incident ou à une crise ? 

2. Le comité de direction et la direction générale

Là encore, pas besoin d’être un expert en matière de cybersécurité pour prendre les devants et faire une analyse des risques et mettre en place des plans d’action pour améliorer la sécurité : de nombreuses ressources sont disponibles pour aider à faire un état des lieux des potentiels incidents (ENISA, Kon Briefing.be). Identifier les failles possibles, les données sensibles, les activités essentielles est un premier pas obligatoire dans la prévention d’une attaque. Attendre que la solution vienne d’une réglementation ou d’un outil informatique “est un piège dans lequel tombent souvent les dirigeants fonctionnels”. 

3. Les responsables informatiques

“Ils devront être les gardiens du temple digital de l’entreprise”. Et particulièrement, être vigilant à ce que l’architecture globale soit préservée pour protéger et faire évoluer l'environnement de l’entreprise. Le problème réside dans le fait que beaucoup d’entreprises ne disposent pas, à ce jour, de spécialistes en architecture, ou même pas de gestion architecturale du tout. Les failles qui en résident sont bien connues des cybercriminels, et laisse donc la porte ouverte à des attaques. 

4. Les responsables de la sécurité et de l’information

Une grande partie des tâches des responsables de sécurité et d’information ne peut être faite qu’en collaboration avec les acteurs mentionnés plus haut : la mise en place de projets d’amélioration, la planification des protections, mise en place et communication de plan définis…

Cependant, une autre partie des tâches est propre à ce groupe de professionnels : il est nécessaire qu’ils mettent en place et suivent la bonne application des contrôles internes, notamment dépendant de la norme ISO 27001. Grâce à l’analyse de ces contrôles, un plan d’action efficace concernant la protection des données pourra être mis en place. 

Là aussi, la direction générale devra être mise régulièrement au courant sur le suivi et l’impact de ces contrôles, surtout lorsque ces derniers peuvent affecter la protection de la sécurité de l’entreprise. 

Toutes les personnes mentionnées ci-dessus ont une part à jouer dans la chaîne de protection, “il suffit qu’un chaînon soit faible ou manquant pour faciliter grandement le travail des attaquants”. 

Aujourd’hui, de nombreuses entreprises se retrouvent vulnérables car la chaîne de protection n’est pas complète, la priorité étant donnée à la transformation digitale et non à la protection digitale.

Retrouvez l’article de Georges Ataya en intégralité sur le site de l’Écho. 

Pour plus d’informations sur notre Executive Master en Cybersecurity Management, n’hésitez pas à contacter : 
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.