Mettre en place une gouvernance

Nommer un responsable de la sécurité numérique et mettre en place une gouvernance

Le développement croissant de la cybercriminalité, des menaces pour les ressources d’informations critiques de l’entreprise, tout comme celles de la règlementation, commande aux conseils d’administration et aux dirigeants de s’engager pleinement en faveur de la sécurité numérique dans leur gouvernance.

photo d'un responsable de cybersécurité avec des jumelles

En tant que ressource critique, l’information doit être traitée comme tout autre actif essentiel au succès de l’entreprise. Ainsi, afin de permettre la réalisation de ses objectifs, elle doit mettre en place une stratégie de gouvernance cybersécurité.

L’information étant devenue essentielle aux activités métiers et support, la sécurité numérique affecte tous les aspects de l’entreprise et il est recommandé de :

  • Nommer un responsable de la sécurité numérique. Le dirigeant d’entreprise est de facto responsable de la sécurité mais la désignation d’un responsable de la sécurité de l’information est un prérequis à une gouvernance efficace. Il est de bonne pratique qu’il:
    • * Soit rattaché à la direction, des systèmes d’information ou des risques, et dispose de la capacité de remonter des alertes à la direction général

    • Dispose des moyens et de l’autorité nécessaires à la réalisation de sa mission

    • Se voit attribuer un budget pluriannuel sanctuarisé par la Direction Générale

    • Définisse et maintienne une politique de sécurité de l’information de l’entreprise

    • Réalise un reporting en comité de direction à minima une fois par an pour faire le bilan des risques, des incidents, des projets en cours et des budgets requis

  • Mettre en place un comité sécurité numérique impliquant tous les acteurs pertinents de l’entreprise (Dirigeant, DAF, DSI, RSSI, DO, DRH, DJ…) :
    • Il est animé par le responsable de la sécurité de l’information et permet de créer un canal de communication efficace pour les orientations de la direction

    • Il permet d’assurer l’alignement stratégique en matière de cybersécurité

    • Il est l’outil de la conduite du changement et de la promotion de la culture cybersécurité

En toute hypothèse, il est indispensable que la direction comprenne la criticité de l’information pour l’entreprise et s’implique directement dans la gouvernance sécurité.