Le rôle du DSI, Directeur des systèmes d’information (ou CISO en anglais), est essentiel à l’adaptation de l’infrastructure informatique des entreprises. Il est de plus en plus courant d’affirmer que le rôle du DSI devient fondamental dans les nouvelles formes d’organisation et de gestion du travail, notamment lorsqu’il est question de données hautement stratégiques et confidentielles.
D’après une récente étude de The Economist Intelligence Unit sur un échantillon de plus de 200 dirigeants d’entreprise et responsables de département, le DSI est devenu un acteur stratégique, qui, aux côtés de la direction, accompagne le changement informatique nécessaire à l’adaptation des métiers.
Pourtant, même si 83 % des dirigeants perçoivent aujourd’hui la contribution du système d’information à la sécurité, à la génération d’économie, et plus généralement à la gouvernance d’entreprise, « la direction de l’information représente le plus souvent encore une simple fonction de support et non un atout stratégique », résume l’étude de l’Economist Intelligence Unit.
Le rôle des dirigeants dans la cybersécurité de l’entreprise
Une étude du Cercle Européen de la Sécurité et des Systèmes d’Information pointe les disparités de perception de responsabilité entre les responsables IT et les dirigeants d’entreprises en matière de cybersécurité. Les dirigeants ont en effet la fausse impression que la prévention a déjà été faite dans leur entreprise. Pourtant cette perception est en décalage avec la réalité opérationnelle. Par conséquent, la politique de cybersécurité est freinée par les dirigeants eux-mêmes.
Ce constat peut s’expliquer par le sentiment de protection des dirigeants face aux risques : 80% d’entre eux considèrent leur entreprise suffisamment protégée. De plus, plus d’un dirigeant sur deux juge sa politique de sécurité proactive. Pourtant, parmi les éléments symptomatiques du décalage entre les deux métiers, la responsabilité en cas d’une intrusion informatique est tout-à-fait représentative. Les deux entités se renvoient la responsabilité : 35% des dirigeants estiment que la responsabilité revient aux DSI. En revanche, ces derniers estiment à 50% que les dirigeants sont responsables.
Un décalage important entre DSI & dirigeants d’entreprise sur les coûts d’une cyberattaque
La prise de conscience est encore lente. Selon une étude réalisée par le Palo Alto Networks auprès de 765 décideurs d’entreprises de plus de 1000 collaborateurs (en Allemagne, France, Royaume-Uni, Belgique et Pays-Bas), on apprend que 13 % des dirigeants seulement estiment « relativement » comprendre ce à quoi correspond un risque de sécurité informatique pour leur entreprise. Ils reconnaissent pourtant avoir « encore besoin de Google pour aider à l’expliquer ». Un dixième des employés estiment quant à eux que leurs dirigeants n’ont pas de compréhension réelle du sujet, ou tout du moins suffisante pour protéger effectivement leur entreprise.
En ce qui concerne le coût d’une cyberattaque, DSI & dirigeants ne s’accordent pas non plus. Pour les DSI, le coût d’une cyberattaque est estimé en moyenne à 19,2 millions de dollars. Pour le management, il est seulement de 11 millions de dollars. Cette disparité se répercute sur les prévisions d’investissement en matière de cybersécurité. 82% des équipes informatiques considèrent ces dépenses comme une partie de la stratégie globale. Ils ne sont que la moitié chez les dirigeants à partager cette opinion.
Vers une culture de la cybersécurité adoptée par l’ensemble de l’entreprise
La mise en œuvre d’une gouvernance efficace passe par l’adoption de solutions en concertation avec l’ensemble de la chaîne de valeur de l’entreprise. Un conseil sans papier notamment permet de bénéficier à tous les paliers organisationnels de l’entreprise.
- Réduction de la charge de travail des secrétaires corporatives
- Temps de préparation des conseils d’administration diminué (4 heures avec un conseil sans papier versus 16 heures en moyenne avec un conseil classique).
- Meilleure performance des administrateurs
- Sécurité pertinente et proactive dans un contexte de cyberattaques en croissance
- Une économie des dépenses de gestion très sensible : on obtient jusqu’à 37% d’économie lorsque le conseil d’administration s’investit activement pour la cybersécurité de son entreprise (source : Hewlett Packard Enterprise)
Afin d’améliorer durablement la gouvernance des technologies et la sécurité de l’information systems infrastructure, les entreprises doivent mettre en œuvre un plan d’action clair, soutenu par des tableaux de bord et un pilotage rigoureux. L’enjeu est de renforcer la place des contrôles, dans une logique d’audit and control structurée, fondée sur des référentiels comme COBIT (Control Objectives for Information and Related Technology) ou la Technology Infrastructure Library (ITIL). Ces cadres apportent des clés précieuses pour intégrer la gouvernance of enterprise IT à la stratégie d’entreprise, en tenant compte des besoins de chaque métier et des spécificités propres aux services informatiques. La gestion de projet et la gestion des services doivent ainsi s’articuler avec les processus de systems audit and control, favorisant un alignement stratégique entre les parties prenantes. Il est aussi essentiel de savoir valoriser la base de données d’incidents pour anticiper les risques et gérer les risques de manière proactive. Enfin, il convient de ne pas négliger les ressources proposées par des organismes spécialisés tels que l’Information Systems Audit and Control Association, afin de professionnaliser davantage les démarches de sécurité et de conformité.
Renforcer la gouvernance IT par l’alignement stratégique et les bonnes pratiques
Pour assurer une gouvernance informatique efficace, les investissements informatiques doivent s’inscrire dans un cadre de référence structuré, tel que le COBIT (Control Objectives for Information and Related Technology) ou l’IT Infrastructure Library (ITIL). Ces référentiels permettent de définir des objectifs clairs, d’aligner les services informatiques avec la stratégie d’entreprise et de mettre en place des plans d’action concrets. Le pilotage des processus, soutenu par des tableaux de bord adaptés, facilite la prise de décision et le suivi des risques liés à l’infrastructure technologique. Pour renforcer l’optimisation continue, il est essentiel d’améliorer l’efficacité des équipes par des actions de formation ciblées, notamment sur la sécurité des données et la gestion des risques. L’implication de toutes les parties prenantes, associée à une mise à jour régulière des bases de données et des outils de pilotage, est indispensable pour gérer de manière proactive les informations critiques de l’entreprise. Enfin, une gouvernance des systèmes bien structurée favorise la création de valeur et la consolidation de la gouvernance IT à tous les niveaux.
Enfin, il est essentiel de souligner que la gouvernance informatique ne saurait se limiter à une approche purement technique. Elle implique également un alignement avec les sociétés d’avocats, les cabinets d’avocats et, dans certains cas critiques, avec la cour de cassation, en particulier lorsque les litiges concernent des atteintes aux données sensibles ou aux obligations de conformité. Une manifestation du non-respect des bonnes pratiques peut entraîner une destruction de valeur considérable, tant financière que réputationnelle. C’est pourquoi il est impératif d’intégrer ces acteurs juridiques à la réflexion stratégique autour des systèmes d’information, en cohérence avec le rôle croissant du DSI dans la prise de décision.
Une stratégie de sécurité informatique bien menée impacte positivement toute l’entreprise. Comme le souligne David Allison, expert en cybersécurité, « la sécurité a besoin d’être une culture diffusée au sein de l’organisation ». « C’est au PDG de mettre en place cette culture. Le responsable de la sécurité informatique (RSSI) définit et exécute la stratégie répondant à ce besoin – et chaque salarié est responsable de l’adoption et du suivi des pratiques requises ».
