Définir la gouvernance de sécurité numérique adaptée à son organisation

Le risque numérique est devenu un risque stratégique pour les organisations : il est potentiellement « mortel », non évitable et son pilotage n’est pas externalisable. Pour déjouer les cyberattaques, il est indispensable d’inscrire la sécurité numérique dans l’ADN des organisations. Les responsables métiers et les décideurs doivent ainsi s’approprier ces enjeux à leur niveau.

La transformation numérique s’est accompagnée d’une interconnexion croissante de l’ensemble des acteurs de la société, faisant en même temps évoluer le risque numérique du champ purement technique vers un risque pesant de plus en plus fortement sur l’activité des organisations. Ce nouveau paradigme oblige dorénavant les dirigeants à reconsidérer leur modèle de gestion des risques de telle sorte que le risque numérique rejoigne les préoccupations stratégiques, économiques ou juridiques des organisations.

Une bonne gouvernance du risque numérique passe par la mise en place d’un comité dédié et adapté aux réalités de l’organisation. Son rôle est de définir la stratégie de sécurité numérique de l’organisation, de s’assurer de sa mise en œuvre, de piloter la performance et de valoriser les investissements réalisés.

La gouvernance du risque numérique s’inscrit dans une démarche de long terme et doit pouvoir trouver sa place dans le fonctionnement habituel de l’organisation. Elle s’appuie sur trois « lignes de maîtrise » :

• Les fonctions opérationnelles et les responsables métiers ;
• Les spécialistes des risques (y compris numériques) à même d’assister les fonctions opérationnelles dans l’identification et l’évaluation de leurs risques ;
• La fonction d’audit (interne ou externe selon la taille de l’organisation) indépendante et liée au plus haut niveau de l’organisation.

Devant l’accroissement du risque numérique et sa propension à gagner toutes les activités de l’organisation, les dirigeants doivent définir avec les conseils d’administration et les directions métiers de nouveaux seuils d’acceptabilité du risque cyber. Ces risques ne sont pas limités à la seule organisation elle-même mais concernent également son écosystème : la maîtrise du risque numérique doit prendre en compte les parties prenantes de la chaîne de valeur et de la supply chain avec lesquelles l’organisation entretient des relations métiers et supports (partenaires, fournisseurs de services numériques, sous-traitants, clients, mais également filiales et services supports internes).

Elaboré par l’ANSSI et l’AMRAE, le guide « Maîtrise du risque numérique – L’atout confiance » [Lien vers le guide] propose une démarche pragmatique issue de l’expérience des principaux acteurs de la maitrise du risque numérique.

Cet ouvrage de référence s’adresse notamment aux dirigeants, CISO groupe et directeurs en charge de la sûreté, la sécurité ou la gestion de crise. Il concerne les organisations de toute taille.

La démarche proposée s’articule autour de 4 axes :

• PRENDRE LA MESURE DU RISQUE NUMÉRIQUE de manière proportionnée aux enjeux de transformation et de compétition économique.
• COMPRENDRE LE RISQUE NUMÉRIQUE ET S’ORGANISER pour élaborer une stratégie de sécurité numérique adaptée au seuil d’acceptation de la menace.
• BÂTIR SON SOCLE DE SÉCURITÉ en agissant sur 3 lignes de défense : protéger vos actifs, surveiller et anticiper la menace, faire preuve de résilience en cas de cyberattaque.
• PILOTER SON RISQUE NUMÉRIQUE ET VALORISER SA CYBERSÉCURITÉ pour générer de la confiance auprès de vos clients et partenaires, et en faire un atout de compétitivité.

Pour compléter la démarche, il convient de mettre en place des indicateurs permettant d’évaluer un niveau de sécurité initial et son évolution dans le temps. Leur mesure doit s’appuyer sur une stratégie d’audit qui intègre les volets métiers, organisationnels et techniques. Cela permettra d’évaluer de façon objective la performance cyber de l’organisation au regard de la menace qui pèse sur elle.