Qui est responsable en cas de cyberattaque en entreprise ?

Près de 2 millions de cyberattaques ont eu lieu dans le monde en 2019 – et les entreprises françaises ne sont pas épargnées. Votre société est nécessairement concernée par ces cybermenaces, car personne n’est épargné. Lors d’une faille de cybersécurité, toutes les têtes se tournent vers le DSI (Directeur des Services Informatiques). Pourtant, est-il le seul responsable ? Quelles sont différentes responsabilités qui entrent en jeu ?

1. Oui, le DSI doit avoir un rôle proactif pour limiter le risque de cyberattaque

Il est juste de dire que le DSI, garant opérationnel de la sécurité informatique, est responsable des questions de cyberdéfense dans l’entreprise. Il faut d’ailleurs préciser, à ce titre, qu’il doit avoir un rôle proactif dans le traitement de ces sujets. Il serait clairement déraisonnable d’adopter une attitude attentiste. Aussi, il faut rappeler son rôle pour s’assurer de la bonne prise en compte de cette problématique dans la société avant même la survenue d’un événement.

Les entreprises les plus performantes sur la cybersécurité et les cyberattaques invitent des experts sur le sujet aux réunions du conseil d’administration. Ainsi, le DSI s’assure que les administrateurs approfondissent leur culture et leurs connaissances des menaces autour de la sécurité informatique de la société. Il est, en effet, très important pour chaque membre du conseil de pouvoir être éclairé sur ces questions, afin qu’elles puissent être correctement addressées.

En parallèle, les entreprises les plus avancées sur les problématiques de cybersécurité permettent également au DSI d’intervenir pendant les réunions du conseil. Ces participations peuvent être systématiques ou, au moins, régulières, selon les sociétés en question et la prégnance des cybermenaces.

Lors d’une séance du conseil d’administration, le DSI peut être amené à fournir des informations concrètes et spécifiques sur la survenue d’une éventuelle cyberattaque. Ainsi, il va pouvoir faire un point sur les forces et faiblesses de l’entreprise, expliquer les tendances, aborder les progrès et les chantiers en cours dans la structure.

2. Mais, la cybersécurité doit être traitée au plus haut niveau et avec sérieux

Même si les questions de cyberattaque doivent être de la responsabilité du DSI, il n’en demeure pas moins qu’elles doivent être prises en compte au plus haut niveau de la société. En effet, les administrateurs doivent donner au DSI, au Responsable de la sécurité des systèmes d’information (RSSI) et à l’ensemble des équipes informatiques les moyens de protéger l’entreprise opérationnellement.

Pour ce faire, il importe que les membres du conseil d’administration comprennent les enjeux de cybersécurité. Il faut donc qu’ils améliorent leur maîtrise des cyberattaques, parfois très technique. Le DSI a d’ailleurs un rôle à jouer à ce niveau. De même, la diversité dans les recrutements d’administrateurs avec notamment l’intégration de compétences numériques et technologiques est cruciale en matière de cyberdéfense.

La juste compréhension des défis de sécurité informatique par les administrateurs n’est pas suffisante en soi. Il est indispensable de déterminer une orientation de la gouvernance et de la politique interne à la structure. Il faut qu’ils puissent l’intégrer directement dans la stratégie de l’entreprise. Des actions concrètes doivent être prévues pour atteindre un niveau optimal de protection contre tout incident et toute cyberattaque.

Pour garantir la cyberdéfense de la société, le conseil d’administration peut par exemple :

• Décider de demander au comité d’audit de s’emparer du sujet
• Mettre en place un comité de cybersécurité
• Utiliser la gestion de crise par scénario pour peaufiner ses réponses en cas de brèche de sécurité

3. Enfin, les cyberattaques sont de la responsabilité de tous

Si les responsabilités du DSI et du conseil d’administration sont importantes, la cyberdéfense de l’entreprise dépend de l’ensemble de ses parties prenantes. La cybersécurité n’est aussi puissante que son maillon le plus faible.

Aussi, pour éviter tout incident de cybersécurité, il importe de veiller à ce que chacun soit impliqué. Pour ce faire, un des rôles majeurs du conseil d’administration et du DSI est de travailler ensemble pour sensibiliser l’ensemble de l’entreprise. Du réceptionniste au président-directeur général, en passant par les partenaires commerciaux et prestataires de service, tous doivent être sensibilisés, concernés et impliqués.

Les hackers informatiques cherchant la moindre faille pour pénétrer une entreprise, tous ses acteurs sont des cibles potentielles. Aussi, une cyberattaque peut trouver son origine n’importe où, par l’entremise de n’importe quel collaborateur, administrateur ou fournisseur. La protection contre les cybermenaces est ainsi un effort commun et une responsabilité partagée.

Chacun doit comprendre le risque de cyber-incident et son rôle face à cette menace. Il faut bien avoir en tête la probabilité qu’un tel événement survienne et l’ampleur des dommages qui peuvent être causés. Chaque personne concernée doit savoir quelles sont les bonnes pratiques et s’y conformer pour la bonne cyber-protection de la société.

Les entreprises doivent être en mesure de s’assurer qu’elles disposent de défenses adéquates en cas de cyberattaque. Cette responsabilité n’incombe pas uniquement au DSI de la société. Le conseil d’administration a aussi un rôle considérable à jouer. De plus, il faut, plus globalement, que chaque partie prenante comprenne qu’elle a une responsabilité en matière de cybersécurité.