Les cybermenaces restent méconnues au-delà de la DSI

Peu de personnes en dehors des DSI ont connaissance des menaces informatiques actuelles, estime Brian Honan, fondateur et directeur général de BH Consulting : « dans de nombreuses entreprises, très peu de personnes hors de la DSI ont entendu parler mêmes des plus grosses menaces de sécurité telles que la vulnérabilité Heartbleed ou encore d’attaques comme celle qui a touché Sony Pictures ».

Ce manque de familiarité avec des menaces en constante évolution est, selon Honan, l’un des principaux défis à relever pour améliorer la sensibilisation des dirigeants au profil non technique : « pour trop de personnes du côté des métiers, la sécurité informatique est quelque chose qui se gère en tâche de fond, ou qui ne les intéresse que pour des questions de conformité réglementaire ».

Et malgré l’importance croissante de la sécurité de l’information pour les entreprises, les métiers n’ont pas encore une bonne compréhension de ces problèmes : « les professionnels de la sécurité peinent à impliquer les métiers sur le sujet parce qu’ils tendent à se concentrer uniquement sur les aspects techniques en utilisant des termes et des concepts inconnus hors de la DSI ». Et « cela fait de la sécurité de l’information une partie mystérieuse de l’organisation qui est associée au fait de dire aux métiers ce qu’ils ne peuvent pas faire pour des raisons de sécurité ».

Dès lors, les RSSI tendent à être perçus de manière négative par les métiers. Ce qui rend la communication encore plus difficile… Pour autant, « les professionnels de la sécurité doivent communiquer avec les métiers », mais d’une manière qui « ne soit pas trop technique ni trop difficile à comprendre », explique Honan.

L’une des approches de ce problème de longue date consiste donc à traduire les questions de sécurité en termes et indicateurs métiers afin que les dirigeants non techniques puissent percevoir la valeur et les bénéfices de la sécurité.

« Par exemple, au lieu d’évoquer le nombre de pourriels bloqués par le système de filtrage du courrier électronique, il est nécessaire de s’exprimer en gains de temps et d’argent », suggère Honan.

Et plutôt que de dire « non », au BYOD par exemple, il convient selon lui de présenter les choses sous l’angle des risques métiers : « oui, vous pouvez faire cela, et les risques associés pour l’entreprise sont les suivants », propose ainsi Honan.

Mais la clé est plus généralement de fournir aux métiers des indicateurs compréhensibles pour s’assurer que les dirigeants n’oublient pas la sécurité.

Parmi ces indicateurs, Honan suggère par exemple « la proportion des effectifs qui ont terminé le programme de sensibilisation à la sécurité, la part de terminaux mobiles chiffrés, le nombre d’incidents de sécurité, le temps moyen de leur résolution, et comment ces chiffres tendent à évoluer avec le temps ».

Mais pour montrer comment fonctionne un programme de sécurité, ces indicateurs, isolés, restent insuffisants : « il faut les lier à d’autres indicateurs et choses pouvant avoir une influence sur les métiers, comme une acquisition programmée ou un lancement de produit ».

Et là, il invite à se tourner vers le standard ISO 27001 qui « peut aider à impliquer les métiers »… et les comprendre. Surtout, il est nécessaire de penser aux spécificités de son secteur d’activité pour « identifier les risques les plus prégnants ».

Discuter avec les métiers peut également aider à identifier les points de sécurité les plus pénalisant pour les métiers. Parce que « lorsque les utilisateurs trouvent que la sécurité complique trop les choses, ils cherchent à la contourner en copiant les données sur des clés USB ou un espace de stockage Cloud privé, avec tous les risques que cela comporte ».

Alors, dans une organisation où il a rencontré une telle situation, Honan raconte qu’un CRM et un service de messagerie électronique en mode Cloud ont finalement été déployés, parce qu’en définitive plus sûrs et plus pratiques pour les utilisateurs.

Pour Honan, il est aujourd’hui d’autant plus urgent de s’atteler à ces questions que « de nombreuses organisations pensent que les attaquants ne s’intéressent qu’aux banques et à ceux qui traitent des données de paiement. Mais il est temps de comprendre que toutes les organisations sont des cibles […] que les criminels ne cherchent pas uniquement des données financières, mais également des données personnelles de clients et d’employés, et à détourner le SI à des fins malveillantes ».

Adapté de l’anglais.

Retrouvez cet article dans le 1er numéro de notre nouvelle publication dédiée aux DSI : la CIO Collection.