Comment mieux impliquer les dirigeants dans la cybersécurité ?

Les cyberattaques ne se limitent plus à de simples incidents techniques : elles représentent désormais une menace stratégique capable de perturber profondément l’activité des entreprises. L’époque où la cybersécurité ne concernait que les services informatiques est révolue. Désormais, les dirigeants doivent devenir des acteurs essentiels, pleinement conscients des enjeux et des risques. Cependant, les mobiliser autour de la cybersécurité demeure un défi pour de nombreuses organisations.

Par Pierre Oger, Directeur Général & Fondateur d’EGERIE

Les cyberattaques ne ciblent plus uniquement des postes de travail isolés ou des serveurs internes. Aujourd’hui, des infrastructures critiques, comme des sites marchands, des chaînes de production, voire des systèmes de gestion logistique, peuvent être paralysées suite à une intrusion. Par exemple, en 2017, l’attaque NotPetya a bloqué les chaînes de production de grandes entreprises internationales, engendrant des pertes estimées à plusieurs centaines de millions de dollars. Plus récemment, des hôpitaux, des usines et des entreprises de transport ont dû suspendre leur activité à la suite de cyberattaques. Ces incidents illustrent un constat alarmant : une attaque bien orchestrée peut compromettre la continuité des activités et, par conséquent, la pérennité de l’entreprise elle-même.

En outre, ces interruptions de services engendrent des conséquences en cascade, affectant non seulement la réputation et la relation client, mais aussi les partenaires, les fournisseurs et les investisseurs. Ce contexte impose aux dirigeants de considérer la cybersécurité comme un pilier de la stratégie d’entreprise, au même titre que la gestion des ressources humaines ou la finance.

Un cadre réglementaire qui responsabilise les entreprises et leurs dirigeants

Face à l’ampleur de la menace, les régulateurs ont renforcé le cadre législatif autour de la cybersécurité. En Europe, deux régulations principales émergent : la directive NIS 2 (Network and Information Security) et le règlement DORA (Digital Operational Resilience Act).

La directive NIS2 impose aux entreprises de secteurs stratégiques et aux fournisseurs de services numériques de renforcer leurs dispositifs de sécurité et de garantir une gestion rigoureuse de leurs risques cyber. DORA, quant à lui, cible spécifiquement le secteur financier en exigeant une résilience opérationnelle numérique robuste. Ces textes de loi intègrent des obligations strictes de prévention, de détection et de remédiation des incidents cyber, avec des sanctions pécuniaires significatives en cas de manquement. Par exemple, les amendes pour non-conformité peuvent s’élever jusqu’à 2 % du chiffre d’affaires annuel mondial pour les grandes entreprises.

Ces régulations, en plus de leurs conséquences financières, engagent désormais les dirigeants eux-mêmes. En effet, la NIS 2 et DORA intègrent des clauses de responsabilité pour les membres de la direction, les rendant juridiquement redevables en cas de non-conformité. En d’autres termes, les PDG et les autres cadres exécutifs peuvent être tenus personnellement responsables des manquements à ces nouvelles exigences.

Des arbitrages éclairés nécessitent des indicateurs clairs et pertinents

Les dirigeants d’entreprise, par leur fonction, sont habitués à prendre des décisions stratégiques en fonction des priorités et des ressources disponibles. La cybersécurité ne devrait pas faire exception, à condition que les indicateurs de risques soient compréhensibles et directement liés aux enjeux économiques et stratégiques de l’entreprise.

Pour que les décideurs puissent intégrer pleinement la cybersécurité dans leur processus d’arbitrage, il est impératif de leur fournir des données fiables, dynamiques et exploitables. Par exemple, il peut s’agir de la quantification du risque cyber en termes financiers, une donnée directement compréhensible par les dirigeants. En utilisant des plateformes spécialisées, les équipes peuvent présenter une cartographie détaillée des risques et estimer les impacts potentiels des menaces. En visualisant le coût potentiel d’un incident ou la probabilité d’une faille, le dirigeant peut alors faire des choix en pleine connaissance de cause.

Le risque d’origine cyber est devenu un enjeu stratégique et un pilier de la résilience organisationnelle. En impliquant activement les dirigeants, les entreprises s’assurent une meilleure réactivité face aux menaces et renforcent durablement leur solidité.

À LIRE AUSSI :

Secu

Une checklist en 7 points pour se conformer aux exigences de Directive NIS2

La rédaction

7 Mai

À LIRE AUSSI :

Secu

DSI et RSSI, vos dirigeants sont vos pires ennemis

Laurent Delattre

2 Nov

À LIRE AUSSI :

Gouvernance

Obsolescence du SI : Dirigeants et DSI ne dansent pas sur le même pied

Laurent Delattre

5 Déc

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !