L’importance de la gouvernance en cybersécurité pour garantir la protection des données

Dans la nuit du 11 au 12 octobre 2019, une cyberattaque de grande ampleur touche la chaîne M6. Toute l’activité du célèbre groupe de médias est paralysée : comment faire son métier de journaliste sans ordinateur ? Le groupe M6 rejoint la longue liste des entreprises victimes de cybercriminalité. 

Selon Asterès, conseil en cybersécurité, 346 500 attaques ont ciblé des entreprises privées en 2022. Les conséquences financières sont élevées : les attaques par rançongiciel  ont coûté 888 millions aux entreprises. Les investisseurs, les actionnaires ou les assureurs exigent plus de sécurité. 

La gouvernance en cybersécurité représente une stratégie globale de réponse aux risques de piratage. C’est un processus de sécurité dynamique. Il irradie l’entreprise dans toutes ses composantes : humaine, organisationnelle et matérielle. Sa mise en œuvre garantit une protection efficace des données.

Qu’est-ce que la gouvernance en cybersécurité ?

La gouvernance en cybersécurité, c’est une nouvelle vision de la sécurité informatique. L’information devient un actif à protéger par tous.

Un système global de gestion de la sécurité des données de l’entreprise

L’organisation traditionnelle des entreprises augmente leur vulnérabilité aux menaces informatiques. La sécurité informatique n’est pas par défaut la responsabilité de la direction informatique. En revanche, la gouvernance en cybersécurité vise à responsabiliser les salariés, les différents services, le comité de direction et le conseil d’administration.

La gouvernance en cybersécurité, c’est donc une stratégie globale de sécurité des informations. Elle définit un ensemble de règles et de pratiques à respecter par tous dans l’entreprise :

• un processus d’évaluation des risques de cybercriminalité ;
• une définition des outils et des méthodes pour protéger les infrastructures informatiques ;
• la protection de l’information contre le vol et l’utilisation criminelle ;
• le respect des exigences légales liées à la cybersécurité (RGPD, normes ISO).

 

Groupe EDF : une expertise de gouvernance en cybersécurité

EDF figure sur la liste des opérateurs d’importance vitale (OIV) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’entreprise d’énergie a donc l’obligation de mettre en œuvre une stratégie élaborée de protection informatique. En effet, la numérisation et la digitalisation rendent vulnérables les centres de production d’électricité nucléaire. 

Le groupe EDF fait face à quatre types de menaces : le rançongiciel, l’espionnage, le sabotage et le vol de données. L’organisation de sa cybersécurité a évolué vers une gouvernance transversale :

• fin du cloisonnement de la sécurité informatique par branche métier et par direction ;
• déploiement coordonné des politiques de cybersécurité de l’entreprise ;
• intégration du risque cyber chez les sous-traitants ;
• développement de la résilience de l’entreprise en cas de cyberattaque ;
• échange d’informations avec les autres acteurs de l’énergie.

 

Pourquoi la gouvernance en cybersécurité est-elle essentielle ?

Dans son état de la cybersécurité en 2023, le cabinet Splunk souligne l’augmentation des attaques informatiques et leur sophistication croissante : 24 % des entreprises subissent un incident de sécurité une fois par semaine ou plus !

Une organisation et des ressources contre le risque de cybercriminalité

La menace de piratage cyber appartient au quotidien de l’entreprise. La cybersécurité devient donc un enjeu stratégique. Et face aux risques, la pression s’accentue sur les dirigeants. Les investisseurs et les assureurs réclament désormais des garanties.

• Comment s’organise la cybersécurité dans l’entreprise ;
• Quel est le niveau d’exposition au risque et quelles sont les implications ?
• Quelles sont les formations et les accompagnements mis en place pour les salariés et les partenaires de l’entreprise ?

 

La gouvernance en cybersécurité représente une solution agile à la menace cyber. Elle propose un système de gestion du risque piloté par la direction. Ainsi soutenue, la cybersécurité dispose des moyens humains et budgétaires adaptés aux enjeux.

Une meilleure gestion des risques liés à la violation de données

La gouvernance en cybersécurité permet d’anticiper les attaques de cybercriminalité. D’une part, elle favorise le développement d’une culture du risque dans les organisations. Et d’autre part, elle réduit les conséquences d’une attaque informatique. Selon Jean-Noël Barrot, ministre délégué chargé du numérique, une PME sur deux fait faillite dans les 18 mois d’une attaque cyber. Pour les experts, le manque d’organisation adaptée profite aux criminels du web.  

Les conséquences d’une fuite de données mettent en péril les organisations, mais aussi les clients et les usagers. Le 23 août 2023, Pôle emploi révèle une cyberattaque chez l’un de ses prestataires : les informations personnelles de 10 millions de personnes ont été dérobées par un pirate : numéros de Sécurité sociale, de permis de conduire et de téléphone. Ces données risquent d’être revendues sur le dark web.

Comment mettre en place une structure de gouvernance efficace en cybersécurité ?

La mise en œuvre efficace d’une gouvernance en cybersécurité repose sur trois principes clés : organisation, analyse des risques, amélioration continue.

Une organisation et des compétences à chaque niveau de l’entreprise

La gouvernance en cybersécurité doit se diffuser de manière homogène dans toute l’entreprise.

1. L’organisation de la gouvernance en cybersécurité s’appuie sur la responsabilisation du comité de direction de l’entreprise. Dans certaines grandes entreprises, la gestion de la cybersécurité fait partie des objectifs des dirigeants. Selon le cabinet Kaspersky, seulement 35 % des dirigeants d’entreprises de plus de 5000 personnes étaient conscients de la fréquence des attaques de cybercriminalité.
2. L’entreprise doit créer une équipe pour déployer sa politique de cybersécurité : un responsable de la sécurité des systèmes d’information (RSSI) et une équipe type SOC (security operation center). Le RSSI reporte directement aux dirigeants.
3. Des référents cybersécurité relaient les décisions prises dans toute l’entreprise.
4. La cybersécurité doit s’intégrer dans la gestion de tous les projets.

 

Des objectifs issus d’une analyse dynamique des risques

La gouvernance en cybersécurité n’est pas un cadre figé. Les menaces évoluent. La réponse de l’entreprise doit s’adapter en permanence. Par exemple, le développement du télétravail augmente désormais la vulnérabilité des entreprises. Le succès des politiques de sécurité informatique repose sur une recherche permanente des risques. Il s’agit alors de fixer des objectifs selon la vulnérabilité détectée.

Un processus d’amélioration continue du système de sécurité informatique

À l’instar de la qualité en entreprise, la cybersécurité doit suivre un processus d’amélioration continue (PDCA ou roue de Deming) :

• planifier (plan) : définition d’une stratégie (objectifs, ressources) ;
• faire (do) : mise en place des actions de sécurité informatique ;
• évaluer (check) : mesurer la conformité des actions avec les objectifs ;
• ajuster (act) : corriger les écarts.

 

Quels sont les risques d’une mauvaise gouvernance en cybersécurité ?

Les principaux risques d’une mauvaise gouvernance en cybersécurité proviennent de fausses croyances. Dans un établissement public, la direction a traditionnellement tendance à se reposer sur l’État. C’est le cas dans le secteur de la santé. Seule la réalité des cyberattaques bouscule cette vision. Ainsi, en août 2022, l’hôpital de Corbeil-Essonnes est paralysé par une attaque de rançongiciel. Suite au refus de payer la rançon, les informations des patients sont publiées sur le Darkweb.

Dans le secteur privé, une gouvernance uniquement centrée sur les outils de protection informatique fragilise les entreprises. En effet, le système de sécurité doit aussi intégrer l’humain : formation et sensibilisation. Selon Stoïk, cabinet de cybersécurité, 47 % des télétravailleurs sont victimes de phishing (hameçonnage). Et l’humain représente 75 % de la vulnérabilité des organisations.

Quelles sont les réglementations et les normes liées à la gouvernance en informatique ?

Selon leur situation, les organisations privées et publiques doivent répondre à des obligations de sécurité de leurs systèmes d’information. 

Mise en place obligatoire de la cybersécurité pour les opérateurs d’importance vitale

Les OIV, opérateurs d’importance vitale, désignent les entreprises à intérêt stratégique pour la France. Il s’agit des entreprises de l’énergie, de l’armement, des transports, de la finance, des télécommunications, de l’alimentaire et de la santé. Leur nom est tenu secret. Dans le cadre de la loi de programmation militaire, elles ont l’obligation de mettre en place des dispositifs de sécurité certifiés par l’ANSSI. 

Le cadre des normes ISO en matière de gestion des risques

La norme ISO 27001 n’est pas obligatoire. Mais de nombreuses entreprises s’appuient sur le cadre de cette norme pour renforcer leur sécurité. Cette norme contribue également à rassurer les clients, les investisseurs et les partenaires d’une entreprise. Elle vise à démontrer la mise en place d’un management de la cybersécurité dans les entreprises certifiées.

Le RGPD pour la protection des clients de l’entreprise

Les entreprises françaises sont soumises au règlement général sur la protection des données (RGPD). Ce cadre juridique vise à renforcer les droits des utilisateurs du web. Il responsabilise pénalement toutes les organisations qui collectent et traitent des données. Le RGPD les incite donc à protéger l’accès aux données collectées.

Quelles sont les meilleures pratiques à suivre pour une gouvernance efficace en cybersécurité ?

Les différents acteurs de la cybersécurité sont incités par l’ANSSI à échanger pour muscler leurs politiques de sécurité informatique. De bonnes pratiques émergent de cette coopération.

La GRC, une stratégie globale de gestion du risque

Pour faciliter son déploiement, la gouvernance en cybersécurité peut s’inscrire dans la logique plus large de la GRC (Gouvernance, gestion du Risque et Conformité). C’est une approche globale des risques en entreprise. La GRC vise à aider les entreprises à atteindre leurs objectifs avec intégrité et avec sécurité dans un univers incertain.

La mise en place d’une analyse des risques performante

En matière de cybersécurité, l’analyse des risques représente le nerf de la guerre. Les méthodes utilisées doivent couvrir le risque existant et l’émergence du risque futur. L’ANSSI propose ainsi la méthode EBIOS Risk Manager. L’analyse part du plus haut niveau de l’organisation pour descendre progressivement aux métiers et techniques. Elle apprécie les risques par scénario de menaces intentionnelles et ciblées.

La gouvernance en cybersécurité exige une approche globale, des ressources et des compétences. Mais le socle de son efficacité repose sur la responsabilisation de tous dans l’entreprise.