{"id":6172,"date":"2018-09-03T07:30:23","date_gmt":"2018-09-03T06:30:23","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=6172"},"modified":"2018-09-02T18:56:17","modified_gmt":"2018-09-02T17:56:17","slug":"cybersecurite-role-responsabilites-conseil-administration","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/cybersecurite-securite\/cybersecurite-role-responsabilites-conseil-administration","title":{"rendered":"Cybers\u00e9curit\u00e9 : r\u00f4le et responsabilit\u00e9s du Conseil d’Administration"},"content":{"rendered":"

Les cyber-menaces sont complexes et en constante \u00e9volution. Elles peuvent aussi causer d’importants dommages financiers et de r\u00e9putation \u00e0 une Organisation. De plus, il n\u2019y a aucun moyen d\u2019\u00eatre prot\u00e9g\u00e9 \u00e0 100%. C\u2019est pourquoi la cybers\u00e9curit\u00e9 ne rel\u00e8ve plus uniquement des services informatiques. Les Conseils d’Administration sont les premiers responsables de la survie de leur organisation et, dans le monde interconnect\u00e9 d\u2019aujourd\u2019hui, la cyber-r\u00e9silience fait partie int\u00e9grante de cette responsabilit\u00e9. Cela signifie que le Conseil d’Administration \u00e0 un r\u00f4le actif \u00e0 jouer et doit assurer ses responsabilit\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9<\/strong>.<\/em><\/p>\n

\"Cybers\u00e9curit\u00e9
Cr\u00e9dit \u00a9 image by rawpixel.com<\/figcaption><\/figure>\n

En charge de la Gouvernance de leur Organisation, les Conseils d\u2019Administration s’assurent de l’optimisation des risques et des ressources. Dans un monde en pleine transformation digitale, ils devraient donc consid\u00e9rer le cyber-risque comme prioritaire. Ceci implique qu’ils devraient jouer un r\u00f4le de leader en mati\u00e8re de cybers\u00e9curit\u00e9 au sein de leur Entreprise. Dans ce cadre, voici donc quelques responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 informatique qui leur incombent directement.<\/p>\n

Principes de base en mati\u00e8re de cyber s\u00e9curit\u00e9<\/h2>\n

COBIT, r\u00e9f\u00e9rentiel de bonnes pratiques en gouvernance des Entreprises, d\u00e9finit un certain nombre de principes de base pour gouverner une Organisation. Le Manuel de l’Administrateur sur la surveillance des risques l\u00e9s au cyber espace<\/a>, publi\u00e9 aux USA par L\u2019Association Nationale des Administrateurs de Soci\u00e9t\u00e9s (NACD) d\u00e9finit \u00e9galement le r\u00f4le et les responsabilit\u00e9s du C.A. en mati\u00e8re de cybers\u00e9curit\u00e9. Cinq principes se d\u00e9gagent. Ces principes de base sont universels. Ils s’appliquent \u00e0 toute Organisation, publique, priv\u00e9e ou m\u00eame \u00e0 but non lucratif, quelles que soient sa taille, son domaine d’activit\u00e9 ou sa localisation. Ils devraient donc \u00eatre pris en consid\u00e9ration par \u00a0tous les C.A. afin d’am\u00e9liorer leur surveillance des cyber-risques.<\/p>\n

1 – La cybers\u00e9curit\u00e9 est une probl\u00e9matique d’Entreprise et non une probl\u00e8matique technologique<\/h3>\n

Les administrateurs doivent comprendre et aborder les questions de la cybers\u00e9curit\u00e9 en tant que sujet de gestion des risques \u00e0 l’\u00e9chelle de l’entreprise, et pas uniquement en tant que sujet informatique.<\/p>\n

Il est toujours aussi surprenant de constater combien d\u2019entreprises associent encore la s\u00e9curit\u00e9 des informations ou la cybers\u00e9curit\u00e9 \u00e0 l\u2019informatique. Certes, la plupart des signalements d’incidents de s\u00e9curit\u00e9 proviennent de l’informatique, Mais on ne peut pas s’y limiter car les impacts se font sentir \u00e0 l\u2019\u00e9chelle de toute l\u2019organisation. Les comp\u00e9tences requises pour g\u00e9rer les risques et traiter les probl\u00e8mes doivent donc se situent au niveau global de l’organisation. Le Conseil d\u2019Administration doit comprendre que tout miser sur la technologie est une grave erreur. \u00a0C’est d’ailleurs la cause sous-jacente d’un grand nombre de violations majeures.<\/p>\n

2 – Comprendre les implications juridiques et r\u00e9glementaires des cyber-risques<\/h3>\n

Les administrateurs doivent comprendre les implications l\u00e9gales et r\u00e9glementaires des cyber-risques dans la mesure o\u00f9 ceux-ci se rapportent au caract\u00e8re sp\u00e9cifique de leur Organisation.<\/p>\n

Avec la fonction vient la responsabilit\u00e9. La direction et le conseil d’administration sont consid\u00e9r\u00e9s comme responsables ultimes des cyber-risques. Ces derniers mois, de nombreux piratages importants se sont produits et, dans de nombreux cas, ils ont perdu leur poste. Gregg Steinhafel, Pr\u00e9sident du Conseil d’Administration et Directeur G\u00e9n\u00e9ral de Target, a \u00e9t\u00e9 contraint de d\u00e9missionner de toutes ses fonctions \u00e0 la suite de la violation massive des donn\u00e9es de l’Entreprise en 2013. Et plus r\u00e9cemment, le Directeur G\u00e9n\u00e9ral d’Equifax, Richard Smith, a du d\u00e9missionner \u00e0 la suite de l’important piratage informatique qui a compromis les donn\u00e9es d’environ 143 millions d’Am\u00e9ricains.<\/p>\n

3 – \u00a0S’appuyer sur l’expertise ad\u00e9quate et mettre la cybers\u00e9curit\u00e9 \u00e0 l’orde du jour<\/h3>\n

Les conseils d’administration devraient avoir un acc\u00e8s ad\u00e9quat \u00e0 l’expertise en mati\u00e8re de cyber-risques et de cybers\u00e9curit\u00e9. D’autre part, les discussions sur la gestion des risques informatiques devraient faire l’objet d’une point r\u00e9gulier \u00e0 l’ordre du jour des r\u00e9unions du conseil. Il est \u00e9galement tr\u00e8s important de pouvoir accorder un temps suffisant aux discussions sur ce sujet important. Il est de plus en plus courant de voir des membres du conseil d\u2019administration qui ont un bagage technologique ou en s\u00e9curit\u00e9. Cette expertise peut vraiment aider \u00e0 sensibiliser les autres administrateurs. C’est la prise de conscience qui permet de gagner la bataille contre les cybercriminels.<\/p>\n

4 – Mettre en oeuvre un cadre de s\u00e9curit\u00e9 pour l’Entreprise dot\u00e9 de ressources suffisantes<\/h3>\n

C’est la responsabilit\u00e9 du Conseil d’Administration de s’assurer de la mise en place d’un cadre de gestion des risques au niveau de l’Entreprise. La Direction doit \u00eatre en charge de sa mise en oeuvre, de sa surveillance et de son suivi. Il est essentiel que le Conseil d’Administration lui donne les ressources n\u00e9cessaires pour atteindre cet objectif. Ces ressources devront comprendre le personnel ad\u00e9quat, les budget et les outils et technologies indispensables.<\/p>\n

Pour la d\u00e9finition du cadre de risques, il est toujours plus facile d’appuyer sur des r\u00e9f\u00e9rentiels existants et \u00e9prouv\u00e9s. Ainsi aux USA, il sera pertinent de s’appuyer du le r\u00e9f\u00e9rentiel NIST CSF. Ce cadre a \u00e9t\u00e9 \u00e9labor\u00e9 par le \u00a0National Institute of Standards and Technology\u00a0<\/a>. Il a pour but de\u00a0permettre aux organisations – ind\u00e9pendamment de la taille, du degr\u00e9 de cyber-risque ou de la sophistication de la cybers\u00e9curit\u00e9 – d\u2019appliquer les principes et les meilleures pratiques de gestion des risques \u00e0 l\u2019am\u00e9lioration de la s\u00e9curit\u00e9 et de la r\u00e9silience des infrastructures critiques. En Europe, NIST CSF est quasi inconnu. On pourra utiliser comme base de travail les normes ISO 27001 (Syst\u00e8mes de management de la s\u00e9curit\u00e9 de l’information) et ISO 27005 (Gestion des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l’information).<\/p>\n

Il existe de nombreuses autres sources \u00e9galement tr\u00e8s int\u00e9ressante pour l’\u00e9laboration de votre cadre de risque. Parmi celles-ci, vous \u00a0pouvez \u00e9galement \u00a0vous appuyer sur la publication COBIT for risk<\/a> de l’ISACA.<\/p>\n

Une chose est s\u00fbre : il est inutile de r\u00e9inventer la roue!!!<\/p>\n

5 – Identifier les risques, prioriser, d\u00e9finir l’approche et planifier<\/h3>\n

La discussion du conseil d’administration sur les cyber-risques devrait inclure l’identification des risques \u00e0 \u00e9viter, \u00e0 accepter, \u00e0 att\u00e9nuer ou \u00e0 transf\u00e9rer par le biais de l’assurance, ainsi que des plans sp\u00e9cifiques associ\u00e9s \u00e0 chaque approche.<\/p>\n

Une gestion efficace du risque de cybers\u00e9curit\u00e9 n\u00e9cessite une compr\u00e9hension de l’importance relative des actifs de l’entreprise afin de d\u00e9terminer la fr\u00e9quence \u00e0 laquelle ils devront \u00eatre examin\u00e9s pour d\u00e9tecter les expositions au risque. Ce n’est pas une t\u00e2che simple. Il faut beaucoup de r\u00e9flexion et d’efforts, ainsi qu’une grande expertise en cybers\u00e9curit\u00e9.<\/p>\n

Exigences l\u00e9gales et r\u00e9glementaires<\/h2>\n

Les industries les plus matures ont \u00e9galement des directives et des exigences r\u00e9glementaires sectorielles en ce qui concerne les responsabilit\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9 du conseil d’administration. C’est par exemple \u00a0cas du secteur financier et bancaire. Certaines exigences r\u00e9glementaires et l\u00e9gales sont aussi \u00e0 l’\u00e9tude au niveau des \u00e9tats. Parmi ces r\u00e9glementations pr\u00e9sentant des exigences en mati\u00e8re de s\u00e9curit\u00e9 des informations, on peut citer le RGPD.<\/p>\n

Le RGPD (ou GDPR en Anglais) est la r\u00e9glementation europ\u00e9enne sur la protection des donn\u00e9es personnelles<\/a>. Elle s’impose \u00e0 toute Organisation publique ou priv\u00e9e traitant les donn\u00e9es personnelles de citoyens europ\u00e9ens. Le RGPD comporte plusieurs exigences pr\u00e9cises en mati\u00e8re de cybers\u00e9curit\u00e9 des donn\u00e9es personnelles. Le non respect de cette r\u00e9glementation expose l’Organisation contrevenante, quelle que soit sa localisation dans le monde \u00e0 une amende pouvant atteindre 4% de son chiffre d’affaire mondial avec un minimum de 20 millions d’Euros. La conformit\u00e9 r\u00e9glementaire et l\u00e9gale est une responsabilit\u00e9 de la Gouvernance. Il s’agit donc d’une responsabilit\u00e9 du Conseil d’Administration. D\u00e9j\u00e0 plusieurs Entreprises ont \u00e9t\u00e9 sanctionn\u00e9es en France par la CNIL pour non conformit\u00e9 au RGPD<\/a>. Et, \u00e0 chaque fois, il s’agissait de probl\u00e9matiques li\u00e9es \u00e0 la s\u00e9curisation de donn\u00e9es dans leur syst\u00e8me informatique.<\/p>\n

Responsabilit\u00e9s du Conseil d’Administration<\/h2>\n

Le Conseil d’Administration assure la responsabilit\u00e9 de Gouvernance de l’Organisation. Gouverner une organisation consiste \u00e0 s’assurer de la cr\u00e9ation de b\u00e9n\u00e9fices pour les parties prenantes en optimisant les risques et les ressources. Ceci peut \u00eatre repr\u00e9sent\u00e9 par le diagramme suivant extrait de COBIT.<\/p>\n

\"Responsabilit\u00e9s
Cr\u00e9dit \u00a9 2012 ISACA<\/figcaption><\/figure>\n

Le Conseil d’Administration a pour responsabilit\u00e9 d’\u00e9valuer les b\u00e9n\u00e9fices attendus, les risques et les ressources n\u00e9cessaires (E<\/strong>valuate<\/strong><\/em><\/span>). Il devra, suite \u00a0\u00e0 cette \u00e9valuation, donner l’orientation \u00e0 suivre (Direct<\/strong><\/em><\/span>). Il a \u00e9galement la responsabilit\u00e9 de surveiller la performance et les progr\u00e8s r\u00e9alis\u00e9s (Monitor<\/strong><\/em><\/span>).<\/p>\n

Evaluer les besoins, les risques et les ressources<\/h3>\n

Une \u00e9valuation de la posture de la cybers\u00e9curit\u00e9 est une premi\u00e8re \u00e9tape utile pour toute organisation qui souhaite identifier sa position actuelle en mati\u00e8re de cybers\u00e9curit\u00e9, ses faiblesses, les risques encourus et ce qu\u2019elle doit entreprendre pour augmenter son niveau de maturit\u00e9. C’est l\u00e0 une \u00e9tape importante pour permettre \u00e0 toute organisation de renforcer ses d\u00e9fenses en mati\u00e8re de cybers\u00e9curit\u00e9. Le Conseil d’Administration pourra d\u00e8s lors prioriser les risques et fournir une feuille de route concr\u00e8te \u00e0 la Direction.<\/p>\n

En quoi consiste votre posture de cybers\u00e9curit\u00e9?<\/h4>\n

Selon le\u00a0National Institute of Standards and Technology<\/a> (SP 800-128 de NIST), une posture de cybers\u00e9curit\u00e9 se rapporte \u00e0 \u00abl’\u00e9tat de s\u00e9curit\u00e9 des r\u00e9seaux, informations et syst\u00e8mes d’une entreprise bas\u00e9 sur des ressources de s\u00e9curit\u00e9 de l’information (personnes, mat\u00e9riel, logiciels, strat\u00e9gies). ) et des capacit\u00e9s en place pour g\u00e9rer la d\u00e9fense de l\u2019entreprise et r\u00e9agir \u00e0 mesure que la situation change \u00bb.<\/p>\n

En d’autres termes, votre posture de cybers\u00e9curit\u00e9 indiquera \u00e0 quel point votre entreprise est saine et cyber-r\u00e9siliente. Elle indiquera \u00e0 quel point l’organisation peut se d\u00e9fendre contre les cyberattaques, les violations et les intrusions. D\u00e9finir votre posture de cybers\u00e9curit\u00e9 est donc important. En effet, cela guidera toute votre strat\u00e9gie de cybers\u00e9curit\u00e9, d\u00e9terminera vos projets et influencera vos d\u00e9penses en la mati\u00e8re au fil des ans.<\/p>\n

Signification des niveaux de maturit\u00e9<\/h4>\n