Pourquoi la gouvernance descendante n'est pas optionnelle
Pourquoi la gouvernance descendante n'est pas optionnelle
La cybersécurité n'est pas un problème technologique, mais un problème de gouvernance. Cette première section explique pourquoi le conseil d'administration est juridiquement responsable et ce que cela implique concrètement.
1.1 La nature systémique de la cybersécurité
Un pare-feu ne détermine pas le budget alloué à la sécurité. Un SIEM ne décide pas des investissements à réaliser dans la formation du personnel. Un système de gestion des correctifs ne décide pas du remplacement des systèmes OT existants. Ce sont des décisions de gouvernance, prises par le conseil d'administration, qui en est désormais juridiquement responsable.
Le conseil d'administration définit le niveau de risque acceptable. Si ce dernier n'a pas été suffisamment informé des cyber-risques – en des termes qu'il puisse comprendre et exploiter –, son niveau de risque acceptable est mal informé. Un niveau de risque mal informé n'est pas une défense, mais une défaillance de gouvernance.
Les trois modes de défaillance de la cybergouvernance des conseils d'administration
Délégation sans responsabilité
« Nous avons un RSSI — c'est son travail. » Le RSSI met en œuvre le programme ; le conseil d'administration définit le niveau de risque acceptable, approuve le programme, vérifie son efficacité et tient le RSSI responsable.
Budget sans compréhension
Approuver un budget de cybersécurité sans comprendre ce qu'il finance ni les risques qui subsistent n'est pas de la bonne gouvernance ; c'est un chèque en blanc qui crée des responsabilités sans aucune garantie.
Politique sans preuve
D'excellentes politiques sur le papier, mais jamais vérifiées. Une politique affirmant que « toutes les données sont chiffrées » ne signifie rien si personne n'a vérifié si le chiffrement est réel.