Apprenez comment créer une culture de cybersécurité. Découvrez pourquoi il est crucial d’avoir des discussions sur la sécurité informatique avant qu’une attaque ne survienne.
Beaucoup de dirigeants d’entreprise ne sont pas pleinement conscients de l’impact que la sécurité informatique peut avoir sur leurs opérations et leurs résultats financiers. Pour obtenir l’adhésion à vos initiatives en cybersécurité, vous devez démontrer l’impact financier.
Les équipes de direction ont souvent un faux sentiment de sécurité. Ils pensent : « ça ne nous arrivera pas » ou « seuls les hackers les plus sophistiqués peuvent percer nos défenses ».
Cependant, près de 80% des décideurs en TI ont déclaré avoir vécu au moins un incident au cours des 12 derniers mois si grave qu’il a nécessité une réunion au niveau corporatif ou du conseil d’administration par la suite.
Bon nombre de ces attaques de cybersécurité sont survenues à la suite de vulnérabilités de sécurité de base qui facilitaient la mise en scène d’une attaque par les cybercriminels. Par exemple, des pirates informatiques qui manquent de connaissances techniques peuvent trouver les informations de connexion de quelqu’un ou acheter des informations d’identification volées. Une fois qu’ils ont ces informations, ils peuvent extraire des données de votre réseau.
Ce n’est pas parce que vous avez un produit de sécurité situé en haut à droite d’un quadrant magique Gartner que vous êtes en sécurité. C’est un faux sentiment de sécurité. Assurez-vous de garder vos outils à jour et de rester à jour avec les meilleures pratiques les plus récentes. Vous ne voulez pas dire : « Je ne savais pas que cet outil de sécurité fonctionnait en arrière-plan. »
Ne le réglez pas et ne l’oubliez pas. Cela aura de grosses conséquences.
Puisque chaque organisation est à risque, il est essentiel d’avoir des conversations sur la cybersécurité avant une attaque plutôt que d’attendre qu’une attaque se produise. Votre entreprise, en particulier votre conseil d’administration, doit bien comprendre vos risques et les mesures que vous pouvez prendre pour éviter une violation.
Comment développer une culture de la sécurité informatique
Il y a trois façons principales de créer une culture de sécurité informatique.
-
Montrez les conséquences en chiffres concrets
Beaucoup d’équipes de direction considèrent que la cybersécurité est quelque chose que le chef de l’information (DSI) ou le chef de la sécurité de l’information (CISO) devrait gérer. Seulement 36% des dirigeants en TI ont déclaré que d’autres cadres considèrent la cybersécurité comme une priorité stratégique, ce qui impacte leur investissement dans la technologie et le personnel.
Cependant, l’ensemble de l’entreprise assume le risque et en assumera les conséquences en cas de violation de données. Par exemple, perdre la confiance des clients après que leurs données ont été compromises affecte l’ensemble de l’entreprise — pas seulement l’informatique.
Cela fait de la cybersécurité un enjeu d’affaires — et non seulement un problème technique.
Si vous souhaitez obtenir l’adhésion à vos initiatives en cybersécurité, vous devez expliquer leurs impacts commerciaux. Montrez au conseil comment ignorer la sécurité informatique aura un impact sur vos résultats financiers. Si vous avez suivi des attaques précédentes, discutez de leur origine, des secteurs de l’entreprise qu’elles ont affectées et de ce qu’elles vous ont coûté.
En plus de détailler les frais durs, comme les frais juridiques et les mesures d’atténuation technique, assurez-vous de discuter des coûts causés par les dommages à la marque et d’autres éléments intangibles.
Votre conseil pourrait ne pas être conscient de la fréquence, de la portée et de l’impact financier d’une violation de données. Leur montrer de vrais chiffres peut les motiver à investir davantage dans vos initiatives en cybersécurité. En fait, 68% des dirigeants TI ont déclaré que leurs conseils d’administration ne sont pas informés de ce que leurs organisations font pour prévenir ou atténuer les conséquences d’une cyberattaque.
-
Construisez un profil de risque
Par le passé, les conseils d’administration d’entreprise s’appuyaient sur la direction pour atténuer les risques. Après la crise financière de 2008, les conseils d’administration sont devenus plus responsables de la préservation des résultats financiers de l’entreprise.
Un profil de risque en sécurité informatique peut aider votre équipe de direction à rester informée et responsable. Lorsque vous créez un profil de risque, assurez-vous de prendre en compte les aspects suivants :
-
- L’infrastructure informatique, incluant le matériel, les logiciels, les appareils mobiles et les dispositifs de l’Internet des objets (IdO)
- Les risques liés à la planification des ressources d’entreprise (ERP), tels que des interruptions imprévues qui entraînent productivité et dommages financiers
- Des connexions avec vos partenaires, fournisseurs et clients qui pourraient exposer des données sensibles
- Des risques pour la vie privée et des violations potentielles de la réglementation pouvant entraîner de lourdes amendes
- Les actions et la conscience des gens lorsqu’ils interagissent avec les systèmes
- Trop de définitions de ce que signifie le risque
Quand vous examinez chaque article, donnez-lui un score de sécurité basé sur les meilleures pratiques de l’industrie et les données. Ensuite, classez-le selon l’ordre de priorité pour savoir quels éléments traiter en premier. Présentez ces informations à votre conseil de façon visuelle, comme avec les tableaux de bord. Cela aidera les autres à voir vos risques et à évaluer rapidement vos zones les plus vulnérables.
Ensuite, à mesure que vous prenez des mesures pour améliorer votre posture de sécurité, vous pouvez montrer au conseil comment vos tableaux de bord se comparent trimestriellement, au moins en personne, et lors du lancement initial de votre programme de sécurité informatique, cela devrait être une communication mensuelle avec votre conseil d’administration.
-
Parle leur langue
La plupart des dirigeants d’entreprise ne s’enthousiasment pas à propos des dernières technologies de sécurité et des meilleures pratiques. Si vous concentrez votre présentation sur les aspects techniques de la sécurité informatique, la direction pourrait se déconnecter. Ils veulent plutôt connaître les réponses aux questions suivantes :
-
- Quels sont les problèmes de cybersécurité?
- Comment ces problèmes affecteront-ils l’entreprise sur le plan financier?
- Quels types d’actions sont nécessaires pour minimiser les risques liés à ces problèmes?
- Combien ça coûte de régler les problèmes?
Aborder ces sujets donnera à votre équipe de direction les informations nécessaires pour prendre des décisions éclairées. Après avoir partagé ces informations, le conseil pourra décider s’il souhaite accepter vos risques actuels de sécurité informatique ou prendre des mesures pour les atténuer.
Continuez la conversation sur la cybersécurité
La conversation sur la sécurité informatique n’est pas terminée une fois que vous obtenez votre adhésion. La direction aura besoin de mises à jour régulières sur les nouveaux risques, préoccupations et règlements. Tenez le conseil d’administration informé de l’impact de vos efforts sur l’entreprise et vos résultats financiers.
Dire simplement la bonne chose à faire n’est jamais suffisant.
Les dirigeants d’entreprise recherchent toujours un retour sur investissement, ce qui inclut non seulement les outils, mais aussi les meilleures pratiques. Pour en savoir plus sur la protection contre la cybersécurité d’aujourd’hui, lisez Le guide ultime de la sécurité informatique d’entreprise. Vous pouvez aussi nous contacter dès aujourd’hui pour découvrir comment nous vous aidons dans votre posture de sécurité.