La cybersécurité n’est plus l’affaire exclusive du RSSI, mais de toute l’entreprise.

Les nouvelles réglementations européennes, telles que NIS2 et DORA, ont récemment mis en avant la responsabilité collective des entreprises en matière de cybersécurité. Désormais, l’ensemble de l’équipe de direction est tenue pour responsable, et non plus uniquement le Responsable de la Sécurité des Systèmes d’Information (RSSI). Les conseils d’administration doivent donc être collectivement sensibilisés aux cybermenaces, car ils peuvent être appelés à répondre de tout incident de cybersécurité survenant sous leur surveillance.

Un changement de paradigme

Andre Troskie, EMEA Field CISO chez Veeam, analyse : « Ce changement de paradigme propose des pistes de réflexion. La responsabilité en matière de cybersécurité et de résilience des données ne peut plus reposer uniquement sur les épaules du RSSI. La sensibilisation à la responsabilité des entreprises est encore insuffisante, principalement parce que les dirigeants n’agissent pas assez rapidement ».
95 % des entreprises de la région EMEA ont déjà réaffecté des budgets initialement destinés à d’autres projets pour se conformer aux lois en vigueur. Bien que l’urgence soit clairement ressentie, les dirigeants peinent à rattraper leur retard et à opérer des changements concrets.

Redéfinir les priorités

NIS2 et DORA ont inauguré une nouvelle ère de responsabilité des entreprises, en l’inscrivant dans la réglementation à un niveau jamais atteint dans le domaine de la cybersécurité. Au cours des deux dernières décennies, la plupart des métiers ont évolué vers le numérique, créant une source de données à la croissance exponentielle que les entreprises doivent gérer et protéger. La cybersécurité est devenue un enjeu vital pour les entreprises, au même titre que n’importe quel autre aspect de leur activité. Elle doit donc relever de la responsabilité de l’équipe de direction.

Ces réglementations formalisent ce qui aurait dû se produire au sein des entreprises. Cependant, pour la plupart d’entre elles, la cybersécurité et la résilience étaient encore reléguées au second plan, car les dirigeants choisissaient de laisser la cybersécurité entre les mains de leurs équipes de sécurité. La valeur commerciale de la cybersécurité peut parfois être difficile à percevoir. Faire preuve de davantage de résilience et être capable de se remettre plus rapidement d’une cyberattaque permettra de minimiser les dégâts encourus par les entreprises, notamment en termes de cours des actions, de chiffre d’affaires et de confiance des clients. À mesure que les dirigeants sont davantage informés sur le sujet grâce à ces réglementations, ces avantages à long terme devraient contribuer à redéfinir les priorités des entreprises, sans compter la pression supplémentaire exercée par le risque de non-conformité.

Sauter le pas

Pour les dirigeants qui souhaitent pleinement comprendre l’étendue de leurs responsabilités dans cette nouvelle ère, ils doivent impérativement tester la fiabilité des plans de réponse aux incidents de leur organisation. Les mêmes réglementations qui l’exigent requièrent également un respect cohérent de la conformité, qui ne doit pas être perçu comme une simple case à cocher. Les dirigeants devront donc être en mesure de démontrer que les plans de réponse aux incidents de leur entreprise fonctionnent en conditions réelles, grâce à des tests effectués lors de scénarios cohérents et rigoureux. Il ne s’agit pas d’une simple formule que les dirigeants peuvent facilement mémoriser et réciter lorsque l’occasion se présente : ils doivent pouvoir l’appliquer de manière concrète.

Ces réglementations n’exigent pas que les dirigeants deviennent des spécialistes de la cybersécurité du jour au lendemain. Ils doivent surtout connaître les plans de réponse aux incidents existants au sein de leur entreprise, savoir vers qui se tourner en cas d’incident, qui sont les personnes chargées de les remplacer, tout en s’assurant que tous les exercices nécessaires ont lieu pour être dûment préparés. En cybersécurité, les plans de réponse aux incidents suivent une philosophie similaire et la conformité aux lois NIS2 et DORA dépend de leur robustesse : c’est précisément là que les dirigeants doivent concentrer leurs efforts. En disposant d’une compréhension pratique de ces plans, ils peuvent ainsi identifier et corriger les points faibles de l’entreprise, qu’il s’agisse de mettre en place de nouveaux processus ou d’intégrer de nouvelles compétences externes dans leurs effectifs.

Ainsi, s’il est tout à fait possible d’être parfaitement conforme aux nouvelles exigences réglementaires, il est en revanche impossible d’être complètement en sécurité. En l’absence de résilience de données et de mesures de protection telles que des sauvegardes, les dirigeants d’entreprise ne seront pas complètement en mesure de se relever à la suite d’une cyberattaque, quel que soit leur degré de conformité.