L'homme et la technologieBien présenter les risques et la sécurité à votre conseil d’administration

Executive Summary

Êtes-vous aussi bon en présentations que vous l'êtes en sécurité ? Comment utiliser le plus efficacement possible le temps limité dont vous disposez auprès de votre conseil d'administration pour expliquer les risques et les besoins, et comment y répondre.

Executive Summary

Êtes-vous aussi bon en présentations que vous l'êtes en sécurité ? Comment utiliser le plus efficacement possible le temps limité dont vous disposez auprès de votre conseil d'administration pour expliquer les risques et les besoins, et comment y répondre.

Related

9 raisons pour lesquelles vos clients abandonnent vos applications

C’est le grand jour. Vous devez faire un bilan de la sécurité de votre entreprise devant le conseil d’administration. Votre présentation est critique : la sécurité de votre entreprise, sa réputation et sa santé financière dépendent de vous. Les membres du conseil doivent comprendre les risques encourus par l’entreprise, et comment vous envisagez d’y faire face. Cependant, leur temps et leur niveau d’attention sont limités. Soyez bref, faites-leur bien comprendre l’importance du sujet.

Suivez ces six étapes pour atteindre vos objectifs.

1. Les cybermenaces sont réelles, tenez-vous-en aux faits

Ils ont entendu les chiffres. Environ 575 milliards de dollars sont perdus chaque année au profit des cybercriminels. Les données compromises peuvent coûter plus de 400 millions de dollars. Pourtant, ce type de données reste souvent ignoré. Les membres du conseil demeurent souvent passifs. Ils doivent toutefois bien comprendre les risques généraux liés au commerce en ligne, qui sont endémiques, comparés aux menaces réelles qui pèsent sur votre secteur d’activité, et votre entreprise en particulier. Si le plus grand risque encouru par votre société est lié à un manque de contrôles ou à des processus inadéquats, ils doivent être au courant. Plus important encore, ils doivent savoir ce que vous faites à ce sujet. Ne vous présentez pas devant le conseil d’administration avec des problèmes pour lesquels vous n’avez pas trouvé de solutions.


Si vous n’obtenez pas le soutien dont vous avez besoin pour défendre votre entreprise contre les menaces existantes, pensez à votre propre réputation et plan de carrière.

Racontez une histoire intéressante concernant une violation de la sécurité, de préférence au sein de votre secteur. Citez des exemples propres à votre entreprise. Identifiez les éléments d’informations critiques (propriété intellectuelle, données sensibles des clients), puis décrivez les conséquences et les coûts s’ils venaient à être compromis.

2. Fournissez des statistiques convaincantes

Si votre sécurité présente des failles que vous ne parvenez pas à résoudre, faute d’avoir les ressources nécessaires, montrez-leur que votre organisation fait continuellement l’objet d’attaques et que vos réseaux sont mis à l’épreuve en permanence. Expliquez bien que, tôt ou tard, les « méchants » vont réussir. Éduquez-les. Surprenez-les.

  • 73 % des entreprises ont subi au moins une violation de sécurité l’an passé.
  • Environ un tiers des employés visés par des techniques d’hameçonnage ouvriront des e-mails frauduleux.
  • Plus de 1 sur 10 mordra à l’hameçon. Il suffit d’une seule personne !
  • Il faudra moins de deux minutes aux hackers pour compromettre vos systèmes.
  • Il peut s’écouler plus de quatre mois avant de découvrir que des hackers se sont infiltrés au sein de votre organisation.
  • Les applications Web sont le point d’entrée n° 1 des violations.

3. Obtenez leur soutien pour mettre en place une culture de la sécurité

Les erreurs humaines représentent 58 % des failles de sécurité. Une entreprise n’est vraiment sécurisée que si tous ses employés sont informés des menaces et contribuent à réduire les risques. Tout commence par des activités de formation rigoureuses et répétées , et éventuellement par l’adoption d’une norme telle que l’ ISO 27001.

4. Persuadez-les qu’une aide est nécessaire pour intervenir en cas d’incident

Incitez le conseil à faire face à la réalité : aujourd’hui, toutes les entreprises sont réellement susceptibles de subir une violation de sécurité. L’importance des dommages dépendra de la rapidité et de l’efficacité de votre réponse, alors pourquoi ne pas être préparé ? La plupart des entreprises n’ont pas les compétences nécessaires pour répondre efficacement aux incidents (IR). Vous avez besoin d’une assistance technique, criminalistique, juridique et relationnelle pour surmonter le traumatisme. Votre meilleure chance : utiliser les services d’une société indépendante possédant des compétences spécialisées. Une bonne entreprise sachant répondre aux incidents.

5. Abordez les cyberassurances

Une cyberassurance doit faire partie intégrante de votre stratégie de sécurité. Pourtant, seulement 19 % des entreprises en ont souscrit une. La plupart sont d’ailleurs très nettement sous-assurées, couvertes à seulement 12 % du coût total d’une violation standard. La cyberassurance est le contrat d’assurance qui connaît la plus forte croissance dans le monde. Elle représente 2,5 milliards de dollars aujourd’hui en primes annuelles, un chiffre qui devrait augmenter de 300 % d’ici 2020 selon les estimations. Faites l’addition pour le conseil. Calculez combien votre entreprise serait capable d’absorber en cas de violation sans subir une catastrophe financière. Choisissez un niveau de risque que vous jugez acceptable, et assurez le reste.

73%

C’est le pourcentage d’entreprises ayant subi au moins une violation de sécurité l’an passé.

6. Incitez-les à soutenir les efforts dont le budget n’a pas encore été approuvé

Vous avez fait vos recherches et déjà obtenu des fonds pour certains de vos efforts. Si vous avez connaissance de zones à risque à corriger, mais que vous ne disposez pas du budget nécessaire, les membres du conseil doivent en être informés, et accepter les risques ou promouvoir une solution. Pour qu’une action soit réalisée, il n’y a pas de meilleur moyen que d’affirmer qu’il s’agit d’une « décision du conseil d’administration ».

En conclusion

Au cours de cet exercice, n’hésitez pas à vous montrer quelque peu égocentrique. Si vous n’obtenez pas le soutien dont vous avez besoin pour défendre votre entreprise contre les menaces critiques, pensez à votre propre réputation et plan de carrière. Si votre conseil d’administration ne mesure pas l’ampleur des risques, il est peut-être temps pour vous d’examiner vos options.

C’est à vous de jouer.

Vous pourriez aussi être intéressé par

Les bonnes (et mauvaises) manières de dépenser votre budget de sécurité

Vous souvenez-vous du temps où nous louions des cassettes vidéo VHS, portions des Doc Martens et écoutions de la musique grunge à la radio ? Même si les années 90 semblent être un lointain souvenir pour la plupart d’entre nous, les datacenters de nombreuses grandes entreprises y sont encore bel et bien ancrés. Un nombre surprenant d’organisations informatiques récupèrent et analysent les journaux d’accès réseau comme en 1999.

Découvrez pourquoi votre budget de sécurité cible peut-être les mauvaises menaces

Utilisez-vous vos budgets informatiques intelligemment ?
Si vous dépensez la majeure partie de votre budget sécurité pour votre périmètre réseau au détriment de la sécurité et de la gestion des identités de vos applications, vous devrez peut-être devoir revoir les proportions.

4 éléments à surveiller dans les angles morts de votre cloud

Comme lorsque vous êtes sur la route en voiture, vous devez également faire attention aux angles morts lorsque vous faites passer votre entreprise sur le cloud. Éblouis par la souplesse, les économies, l’efficacité et les gains de productivité apportés par le cloud, de nombreux responsables informatiques en oublient quatre dangers difficiles à voir au premier abord.