De la nécessité de lier cybersécurité et résultats commerciaux

La problématique de la cybersécurité ne se confine plus à l’univers informatique.

À l’heure où l’économie du numérique évolue pour intégrer des écosystèmes entiers et s’adapter au monde digital ouvert, la cybersécurité doit elle aussi se transformer pour cesser d’être uniquement le problème des informaticiens responsables du back-office et devenir une considération pour l’entreprise entière. Les besoins en digital devront être soutenus par les technologies.

Et c’est au DSI qu’il incombera de veiller à leur déploiement, mais aussi de faire comprendre à sa direction que la sécurité doit être traitée comme n’importe quelle autre discipline à risque. Après tout, des actions comme la sécurisation des infrastructures externes ou la mise en place de procédés permettant le développement d’une relation de confiance avec les consommateurs en ligne sont liées à la fois à la cybersécurité et aux performances des entreprises.

Le système de protection parfait n’existe pas

Les professionnels du secteur de l’informatique savent pertinemment qu’il n’existe aucun dispositif de sécurité assurant contre l’ensemble des risques. Malheureusement, leurs dirigeants pensent que c’est possible dès lors qu’on y met les moyens financiers et les ressources humaines. Et quand l’inévitable se produit, comme un piratage ou une violation des données, la faute retombe invariablement sur les informaticiens. Les DSI doivent donc promouvoir l’idée que le niveau de sécurité le plus adapté aux besoins de l’entreprise est celui qui lui permet de concilier impératif de protection et nécessité d’efficacité des processus de travail. Ce n’est qu’en procédant ainsi qu’ils pourront gérer les attentes des dirigeants et faire de la prévention des risques et de la sécurité une activité importante et à part entière pour l’entreprise.

La mauvaise appréciation des risques d’une technologie spécifique est comparable aux erreurs d’estimation des risques en entreprise, comme l’oubli de procéder à l’audit préalable au cours d’une fusion.

Dans leur vie professionnelle quotidienne, les cadres dirigeants sont régulièrement amenés à prendre des décisions représentant des risques importants pour l’entreprise. Les DSI doivent convaincre leurs dirigeants d’élargir leur compréhension des risques de façon à ce qu’ils introduisent ces technologies qui supportent désormais les efforts de l’entreprise. Les DSI doivent présenter les risques mais surtout la façon dont ils affectent les résultats de l’entreprise. Une fois que les résultats de l’entreprise, dépendants de la technologie, sont en danger, les responsables de l’informatique et les dirigeants peuvent décider ensemble si le risque est acceptable ou s’il convient de trouver une alternative.

L’humain est un danger pour la sécurité, mais peut aussi être une solution

S’il est bien connu que l’humain est le premier risque en matière de sécurité, celui-ci peut aussi participer à son bon fonctionnement. Le monde digital a dû faire face à l’émergence d’un flot de nouvelles technologies, comme des appareils mobiles, que les salariés utilisent avec des identifiants d’entreprise.

Les vieilles techniques de sécurité, à commencer par les consignes relayées sur les tapis de souris et les posters ne sont plus des méthodes efficaces pour sensibiliser. Il est important de concevoir une nouvelle approche, capable d’influer directement sur les pratiques des collaborateurs. Ces derniers sont autant de facteurs déterminants du succès ou de l’échec des stratégies de sécurité, qu’ils le sont pour les résultats de l’entreprise. Les DSI doivent ainsi traiter la problématique de la sécurité en élaborant une stratégie mettant l’accent sur l’humain avec comme objectif de changer les comportements.

Plus que des mots, la sécurité demande des actes

La plupart des programmes d’évaluation des risques sont très efficaces pour les apprécier, élaborer des rapports et sonder les dirigeants, mais au final, ils ont rarement une quelconque influence sur les décisions, et donc peu d’impact sur les risques.

Il est crucial de veiller à ce que les évaluations des risques soient claires, concises et fournissent juste assez d’informations pour former des arguments précis utiles à une prise de décision sur un projet particulier. Il est également conseillé de mettre au point un tableau de bord agrégeant des indicateurs relatifs aux technologies de pointe dont dépendent les recettes de l’entreprise.

En cartographiant les dépendances entre résultats et technologies, les DSI seront en mesure d’identifier cinq à neuf indicateurs pour démontrer à leurs dirigeants et à leur conseil d’administration la valeur commerciale de l’informatique ainsi que le niveau de risque et de sécurité le plus adéquat. En s’appuyant sur ces indicateurs, ils pourront déterminer la corrélation entre l’efficacité de la technologie et les performances de l’entreprise pour ainsi les améliorer.

Source : http://www.zdnet.fr/actualites/de-la-necessite-de-lier-cybersecurite-et-resultats-commerciaux-39851420.htm

Au sujet de l'auteur

Lire aussi :