Quatre astuces pour éviter de devenir la prochaine cible d’un pirate

La cybersécurité est un enjeu fondamental pour toute entreprise. Mais il n’est pas facile de surmonter le problème : les pirates changent de tactique au moins aussi vite que les entreprises mettent en œuvre de nouveaux dispositifs de sécurité. Malgré les innombrables risques et difficultés, vous pouvez prendre des mesures pour garantir la protection de votre entreprise. Forts de l’expérience de Diligent qui vient en aide aux conseils d’administration du monde entier, nous recommandons un ensemble de pratiques fondamentales maintenir les pirates à l’écart de vos systèmes.

Placez la cybersécurité au plus haut de vos priorités… Inscrire la cybersécurité à l’ordre du jour ne suffit pas. Cette question mérite une priorité supérieure à celle qu’elle a généralement aujourd’hui. Une enquête de la NYSE révèle que la cybersécurité figure à l’ordre du jour de la plupart des conseils d’administration, plus de 80 % des personnes interrogées déclarant discuter de cybersécurité lors de toutes les réunions ou de la plupart d’entre elles. Mais le même sondage indique que les risques liés à la sécurité sont l’avant-dernière préoccupation des membres du conseil lorsqu’il s’agit d’acquérir une nouvelle solution technologique. Sur l’échelle des facteurs pris en compte, l’argument de sécurité vient après les perspectives de chiffre d’affaires, la différenciation par rapport à la concurrence et les coûts de développement. La cybersécurité ne doit pas être le point essentiel de l’ordre du jour à chaque réunion, mais si elle figure toujours en fin de liste, vous ne lui consacrerez pas tout le temps qu’elle mérite.

…mais ne vous aventurez pas dans des considérations trop techniques. Accorder plus d’importance à la cybersécurité lors des réunions du conseil n’implique pas, qu’en tant qu’administrateur, vous vous perdiez dans les aspects techniques du sujet. Nous vous recommandons plutôt qu’une ou deux fois par an, vous demandiez au CIO et/ou au responsable de la sécurité des systèmes d’information (CISO) de vous tenir au courant des principales menaces auxquelles l’entreprise fait face, des procédures mises en place pour les détecter et les gérer et des plans d’intervention en cas de crise. Exhortez l’équipe chargée de la sécurité de l’information à effectuer des « simulations » permettant d’évaluer quelles auraient été les conséquences pour votre entreprise de l’attaque subie par une autre société. Et assurez-vous que ces experts en sécurité passent au crible toutes les personnes et tous les systèmes impliqués dans la technologie, des fournisseurs aux applications, afin d’identifier les faiblesses propices aux attaques. Demandez aux responsables d’autres secteurs fonctionnels de vous informer également. Invitez-les à vous faire part de toute menace de sécurité envers les données de leur département, que ces données soient ou non protégées et quelles que soient les mesures de protection mises en place, et demandez-leur de vous indiquer comment ils réagiraient à une attaque.

Impliquez le facteur humain dans votre mission. Rappelez-vous que les gens constituent le risque le plus important. Car c’est dans notre nature : l’homme fera toujours usage des moyens les plus faciles mis à sa disposition pour traiter les documents et données. Par exemple, s’il souhaite travailler sur une feuille de calcul depuis l’ordinateur familial, il se peut qu’il l’envoie sur un compte Gmail non sécurisé si c’est la démarche la plus simple qui s’offre à lui. Pour que la nature humaine soit de votre côté, offrez aux gens toute la simplicité et la commodité qui leur permettront d’agir de façon adéquate. En d’autres termes, implémentez des processus et des technologies qui soient à la fois sécurisés et très faciles à utiliser pour les gens.

… et donnez l’exemple. En adoptant vous-même des pratiques modèles en matière de sécurité, vous pouvez contribuer à ce que chacun au sein de l’organisation vous emboîte le pas. Les conseils d’administration peuvent notamment donner l’exemple en veillant eux-mêmes à la sécurité de leurs documents de conseil. Vous serez dans une position bien plus favorable pour exiger de nouvelles protections et pratiques de gouvernance si vous êtes vous-même irréprochable.

En votre qualité d’administrateur, vous devez vous préoccuper de la cybersécurité, mais vous ne pouvez vous en charger tout seul. En adoptant les pratiques décrites ici, vous contribuerez à atteindre les objectifs de sécurité, mais vous devrez vous entourer des CIO et CISO ainsi que de toute l’équipe de direction afin que se développe une culture de la cybervigilance au sein de l’organisation.