Avec NIS2, la cybersécurité deviendrait-elle l’affaire du top management ? Le sujet technique deviendrait-il sujet de management ? Sabika Ishaq, Chief Information Security Officer, Grant Thornton Luxembourg, répond à ces questions. Un avis précieux.

L’un des principaux messages transmis par NIS2 est qu’une bonne sécurité dans une organisation commence au niveau du management… et non avec des pare-feux, des câbles blindés ou des données biométriques ! La haute direction a un rôle bien plus important à jouer qu’elle ne le pense dans la réalisation de la sécurité, estime Sabika Ishaq.

NIS2 impose à la haute direction de jouer un rôle actif dans la gouvernance de la cybersécurité, soulignant qu’il ne s’agit plus seulement d’une question informatique mais d’une préoccupation essentielle de l’entreprise. « Ce changement signale une transformation où les subtilités techniques sont intégrées dans les processus de prise de décision managériale. » Par conséquent, cela nécessite une compréhension globale des risques de cybersécurité et des stratégies de résilience au niveau exécutif. La CISO de Grant Thornton en est persuadée : les organisations doivent favoriser une culture dans laquelle la cybersécurité est ancrée dans le tissu de leurs opérations, avec un leadership qui dirige le programme de protection des actifs numériques et de maintien de la continuité opérationnelle. 

Changement de paradigme

Dans le cadre de la directive NIS 2, la cybersécurité n’est plus considérée comme un exercice réactif basé sur des indicateurs périodiques, mais plutôt comme un outil proactif et stratégique pour atténuer les risques et renforcer la résilience. Ce changement de paradigme nécessite une réévaluation fondamentale de la manière dont les organisations abordent la cybersécurité, nécessitant un parrainage dédié aux plus hauts niveaux de direction. « Il est impératif que la cybersécurité soit intégrée aux objectifs stratégiques plus larges de l’organisation, avec le soutien et les investissements de la direction pour conduire un changement significatif. Cela implique d’aligner les initiatives de cybersécurité sur les objectifs de l’entreprise, d’allouer les ressources en conséquence et d’intégrer une mentalité de cybersécurité à tous les niveaux de l’organisation. Les entreprises qui adoptent ce nouveau paradigme seront mieux placées pour faire face à l’évolution du paysage des menaces et tirer parti des opportunités émergentes à l’ère numérique. »

Quant à savoir si nos entreprises sont prêtes à ce changement, l’état de préparation varie selon le paysage des entreprises. Certaines organisations ont adopté ce changement, reconnaissant la nécessité d’intégrer la cybersécurité dans leur planification stratégique et leurs processus décisionnels. Ces entreprises avant-gardistes ont pris des mesures proactives pour établir des structures de gouvernance solides, allouer des ressources adéquates et cultiver une culture de sensibilisation et de responsabilité en matière de cybersécurité. « Elles comprennent que la cybersécurité n’est pas seulement un problème informatique, mais un impératif commercial qui nécessite une participation et un engagement holistiques à l’échelle de l’organisation. »

Cependant, d’autres entreprises sont peut-être encore aux prises avec la transition, confrontées à des défis tels qu’une sensibilisation limitée, une résistance au changement ou des priorités concurrentes. Pour ces organisations, le cheminement vers l’adoption de la cybersécurité en tant qu’atout stratégique peut nécessiter une éducation, un plaidoyer et un soutien supplémentaires. « Il est essentiel que les dirigeants évaluent l’état de préparation de leur organisation, identifient les lacunes et prennent des mesures concrètes pour les combler. »

Management, une impulsion tangible

En outre, étant donné que le champ d’application de NIS2 a été étendu pour inclure des secteurs supplémentaires au-delà des infrastructures critiques traditionnelles, c’est clairement une incitation significative pour ces secteurs nouvellement réglementés à donner la priorité à la cybersécurité. « De nombreuses organisations de ces secteurs pourraient être confrontées pour la première fois à des réglementations en matière de cybersécurité, observe Sabika Ishaq. Ce qui leur donnera une impulsion tangible pour investir dans des mesures de cybersécurité et des efforts de conformité. »

Au sein de ce nouveau paradigme, il est essentiel que la cybersécurité ne soit plus abordée simplement au moyen d’indicateurs périodiques, mais bien comme un outil stratégique, plébiscité par un sponsor dédié. Ce qui s’explique, selon la CISO de Grant Thornton Luxembourg. « Des preuves irréfutables démontrent comment les cyberattaques réussies se traduisent par des chocs négatifs inattendus sur la réputation d’une entreprise, affectant négativement l’activité boursière et entravant la richesse des parties prenantes. En réponse, les dirigeants ont été appelés à jouer un rôle plus central dans la manière dont leurs entreprises gèrent la confidentialité, l’intégrité et la disponibilité des données et des informations, car cela est devenu un risque vital pour les organisations. »

On voit que la perception des dirigeants quant aux impacts de la cybersécurité sur leur organisation influence considérablement leurs décisions stratégiques, y compris la surveillance réglementaire. Les dommages potentiels des cyberattaques sont considérables en termes de continuité des opérations commerciales, de vol d’informations confidentielles et d’atteinte à la réputation.

Un niveau de sensibilisation qui varie

Il n’empêche. Même avec ce sentiment d’urgence croissant, il règne une confusion croissante quant à ce qui doit être fait et comment. Les dirigeants et les entrepreneurs sont perplexes face à la complexité des problèmes et des préoccupations. « Même si NIS 2 permet aux managers d’être tenus responsables en cas de violations de cybersécurité, leur état de préparation et la sensibilisation à leurs responsabilités varie selon les organisations. Certaines entreprises ont peut-être déjà pris des mesures proactives pour garantir que la direction soit pleinement consciente de ses rôles et obligations en matière de gouvernance de la cybersécurité. Mais combien ? »

Cela pourrait impliquer de fournir une formation et un enseignement sur les meilleures pratiques en matière de cybersécurité, de mettre en œuvre des cadres de gouvernance solides et de favoriser une culture de responsabilité dans l’ensemble de l’organisation. Cependant, dans d’autres cas, la direction peut encore être en train de saisir les implications de la directive et d’aligner ses actions en conséquence. Par conséquent, des efforts continus d’éducation et de sensibilisation restent nécessaires pour garantir que la direction, et plus généralement le management, soit équipée pour s’acquitter efficacement de ses responsabilités.

Propos recueillis par Alain de Fooz