“La responsabilité du risque cyber n’est pas externalisable”

Il faut se poser cette question : « Qu’est-ce que mon entreprise peut se permettre de perdre ? » Temporairement ou irrémédiablement. Dans ce nouvel épisode, Business Intelligence insiste sur le fait que la cybersécurité récompense la prévoyance.

Ce n’est pas un luxe. C’est une préoccupation permanente. « La cybersécurité ne s’improvise certainement pas. Elle impose une planification : identifier ce qu’il faut protéger, mettre en place les protections, vérifier leur efficacité et apporter les améliorations nécessaires sans attendre », explique Denys Bornauw, consultant en sécurité de l’information et cofondateur de WalChain, le réseau des acteurs wallons de la blockchain, invité dans cet épisode de Business Intelligence.

L’une des meilleures mesures de précaution repose d’ailleurs sur la mise en œuvre d’un cadre de gouvernance des risques numériques. Derrière cette apparente « novlangue » se cache une méthodologie de management de la sécurité de l’information. Il s’agit d’un cadre de pratiques standardisées, articulé autour de normes de gestion de qualité. Cette gouvernance impose d’examiner, sous l’angle de l’information – c’est-à-dire au niveau des données, des logiciels et du stockage – ce qui est essentiel pour l’entreprise.

« C’est élémentaire, mais il convient d’établir un business continuity plan, dans lequel on évalue l’impact potentiel d’une indisponibilité ou d’un problème de cybersécurité en termes de confidentialité, d’intégrité et de disponibilité. Cela concerne la facturation, la production, les relations clients, la gestion du personnel, etc. Cela implique aussi de se conformer aux exigences réglementaires. Ne pas déposer ses comptes annuels ou sa déclaration de TVA à temps à cause d’une cyberattaque n’est pas une excuse recevable », ajoute l’expert en sécurité de l’information.

Tous responsables, du réceptionniste au livreur

Ce cadre de gouvernance n’est évidemment pas uniquement l’affaire des responsables IT. La tâche incombe à l’ensemble des collaborateurs de l’organisation. « De la personne à l’accueil dans le hall d’entrée, jusqu’au comptable ou au livreur. Si l’on considère la cybersécurité comme une contrainte, on sera tenté de l’éviter. Il est essentiel de faire comprendre, de manière didactique, que c’est réellement la responsabilité de chacun. Les obligations varient selon les rôles, mais si quelqu’un ne respecte pas une mesure de sécurité, cela impacte l’ensemble de l’entreprise, voire ses clients et fournisseurs », souligne Denys Bornauw.

Cette gestion active et planifiée du risque cyber doit s’inscrire dans l’ADN de l’entreprise, dans sa culture et dans la structure de ses opérations. Le degré de rigueur exigé par cette sécurité de l’information, et l’adhésion qu’elle requiert de chaque partie prenante, font de la cybersécurité un véritable moteur économique. Au point qu’elle paraît impossible à externaliser.

« Ce qui n’est pas externalisable, c’est la responsabilité. La responsabilité du chef d’entreprise est de savoir ce qui menace sa société et de mettre en œuvre les actions nécessaires pour garder le contrôle. Il faut savoir qui doit faire quoi, vers qui se tourner en cas d’attaque ou de détection d’une anomalie. C’est cette logique qui doit prévaloir dans toutes les entreprises, quelle que soit leur taille », recommande le consultant en cybersécurité.