3 conseils à l’intention des dirigeants d’entreprises
La sécurité informatique occupe aujourd’hui une place très importante dans la gestion d’une entreprise.
Peu importe les orientation d’une organisation, peu importe ses exigences, elle doit faire tout son possible pour accorder le plus d’intérêt possible à sa cybersécurité. Si des professionnels ont été établis pour gérer cet aspect en société, à savoir le responsable de sécurité de système d’information et le directeur de la sécurité de l’information, il n’en demeure pas moins, que tous les membres de l’entreprise sont directement impliqués dans la définition de la politique même de sécurité informatique. En particulier les chefs d’entreprises.
Cet article va aussi vous intéresser : Le rôle essentiel des DSI & RSSI, des dirigeants et des collaborateurs face à la cybercriminalité toujours grandissante
En effet, peu importe les protocoles et les mesures déployées par les professionnels en la matière, les décisions prises par les dirigeants d’entreprise beaucoup plus d’influence sur la sécurité de l’information que celles des précédents.
« La sécurité informatique n’est pas la chasse gardée de la DSI ou du RSSI. Pour protéger efficacement l’entreprise, la direction doit embrasser ce sujet en prenant des décisions éclairées et adaptées. », souligne à ce propos Sébastien Jardin. « La plupart des entreprises disposent aujourd’hui de responsables informatique ou cybersécurité chargés de protéger l’organisation contre les attaques et les fuites de données. Mais c’est à la direction de prendre les décisions nécessaires pour réduire le risque numérique, car c’est bien l’entreprise qui sera mise en cause en cas de défaillance. », ajoute le professionnel.
Grâce au cadre légal qui est en train de se construire autour de la gestion des données personnelles, tel que le RGPD, on assiste de plus en plus à une amélioration de la gestion de l’utilisation et de la protection de ces informations sensibles. Dans ce contexte toute entreprise qui se montre négligente, elle se voit alors sanctionnée. Des sanctions qui peuvent aller jusqu’à 4 % de chiffre d’affaire mondial de cette entreprise ou alors 20 millions d’euros. Sans mettre de côté les sanctions pénales pouvant être accompagnées de pleine de prison allant jusqu’à 5 ans. En dehors des conséquences, un incident de sécurité peut largement porter atteinte à la stabilité de l’entreprise, à son image ainsi que la confiance que lui accorde les consommateurs.
Conseil 1 : Définir des cadres réglementaires stricts au sein de l’entreprise
« La sécurité peut être contraignante et ne sera donc pas acceptée naturellement par tous. Attacher sa ceinture est devenu aujourd’hui un réflexe pour les automobilistes et leurs passagers. Mais ce changement dans les mentalités ne s’est pas fait en un jour. L’obligation du port de la ceinture de sécurité a été progressive, tout comme l’augmentation des sanctions appliquées aux récalcitrants. », note Sébastien Jardin.
Par ailleurs, pour que la politique de sécurité soit appliquée comme des exigences absolues, il faudrait que ses règles proviennent directement de la direction générale. De la sorte le personnel comprendra la nécessité de ne pas contrevenir à celles-ci. Par ailleurs ces mêmes règles doivent être appuyé de sanction pour montrer l’importance même de respecter. En plus, cela ne doit pas se limiter simplement au personnel mais aussi aux relations extérieures. En effet, il faudra par exemple mettre en avant le critère de la cybersécurité dans le choix d’un prestataire par exemple, ou d’un partenaire d’affaires ou même moment d’un sous-traitant.
Conseil 2 : Ne jamais négliger le risque peu importe le contexte
En entreprise, ce qui est important c’est de gagner le plus d’argent possible. Dans le feu de l’action il nous arrive parfois de négliger certaines règles élémentaires de cybersécurité. Cependant pourquoi se précipiter si c’est pour subir les conséquences beaucoup plus graves que le gain que nous visons.
« Il est indispensable de mettre la sécurité au cœur de chaque nouveau processus ou produit, en particulier lors de la phase de conception, sous peine de devoir reprendre cette dernière à zéro. Mais aussi dans les phases de production et d’exploitation. Bref, tout au long du cycle de vie du processus ou du produit. », souligne Sébastien Jardin. « Connaître les risques c’est aussi savoir les accepter. Lorsque l’entreprise doit répondre à une problématique dans l’urgence, elle peut décider d’accepter le risque, en particulier si son impact financier éventuel reste limité au vu des avantages attendus. Mais elle doit le faire en connaissance de cause : le risque est soit traité, soit délégué, soit assumé, mais jamais ignoré. Bien évidemment, seule la direction est en mesure de prendre la décision d’accepter un risque. », ajoute ce dernier.
Conseil 3 : Rester en alerte
Les attaques informatiques se multiplient de plus en plus. Par conséquent, il est nécessaire de toujours rester vigilant peu importe le contexte. Il suffit d’une simple avec les gens, de simple retard de mise à jour basculé. Par conséquent il faudra rester toujours sur le qui-vive. Ne jamais négliger un audit de sécurité et jamais ne mettre en retard le développement d’une mise à jour de sécurité.
Accédez maintenant à un nombre illimité de mot de passe :