Le manque de stratégie est souvent à l’origine de problèmes de communication. (Photo: 123RF)
CYBERSÉCURITÉ. Des problèmes de communication entre les équipes de cybersécurité et la direction représentent un angle mort important pour les entreprises.
« À chaque incident, c’est souvent la même chose, explique en entrevue Guillaume Clément, associé aux Services en cybersécurité de KPMG. L’équipe des TI dit “nous, on avait suggéré justement d’acheter tel produit, de mettre en place tel contrôle, mais cela a été refusé ; ou c’est en réflexion ; ou on allait le faire”. De l’autre côté, la haute direction dit “je ne savais pas que c’était si pire que ça ; je n’étais pas au courant qu’il nous manquait des affaires de même ou que le budget était insuffisant.” » Donc tu as deux parties qui ne se chicanent pas nécessairement, mais qui sont chacune dans leur monde. »
Cette dichotomie s’explique en partie par les difficultés qu’ont les cellules des technologies de l’information à bien faire passer leur message.
« Avec la haute direction, je dois être factuel et précis, croit Guillaume Clément. Si je demande des fonds, il faut que je le justifie, donc je dois aborder le retour sur investissement qui en cybersécurité signifie une réduction des risques. Je parle un langage d’affaires le plus possible. Je dois m’adapter aux besoins d’affaires de l’entreprise. »
Lors de ces échanges, le spécialiste de KPMG recommande notamment aux équipes de TI de présenter différentes options à la direction avec les avantages et les inconvénients pour chacune.
En sommes, les TI doivent mieux communiquer. « Je trouve qu’on n’a pas été très bons dans les dernières années, explique-t-il. La réédition de comptes à la haute direction est déficiente. »
Le CA doit aussi être meilleur
Camélia Radu, professeure de comptabilité et directrice de la maîtrise dans ce domaine à l’École des sciences de la gestion, s’intéresse aussi beaucoup aux questions de gouvernance en matière de cybersécurité. Elle constate également que le message ne passe souvent pas entre le conseil d’administration et la direction des TI. « L’équipe de TI doit adapter son discours, dit-elle. Il faut parler de stratégie et ne pas trop aborder l’opérationnel en détail, car les membres du CA n’ont pas l’expertise pour comprendre et ils vont perdre l’intérêt. »
Elle recommande donc que ces deux entités suivent des formations pour saisir le rôle de son vis-à-vis. « Si on comprend davantage les responsabilités de chacun, le message passe mieux », croit-elle.
Face à l’importance grandissante de la cybersécurité en entreprise, elle estime que le CA doit être bien outillé. « Puisque le CA a un rôle majeur pour définir les objectifs et les stratégies en matière de cybersécurité, il doit acquérir de nouvelles compétences dans ce domaine, juge-t-elle. Cela passe par des formations aux membres et par la nomination de nouveaux talents en cybersécurité dans le CA. »
Nommer un responsable au CA pour la sécurité de l’information constitue une bonne pratique, selon elle. « Cette personne travaille ainsi avec la haute direction et le responsable de la sécurité des systèmes d’information pour que les mises à jour de sécurité soient effectuées et pour assurer une compréhension adéquate de la gestion des risques. »
Problèmes plus profonds
Le manque de stratégie est souvent à l’origine de problèmes de communication.
« Une stratégie, c’est définir les priorités et les risques en fonction des besoins d’affaires, avance Guillaume Clément. C’est de gérer le contexte évolutif de la cybersécurité, d’identifier les contrôles scientifiques, d’établir une hygiène de cybersécurité, d’avoir une mainmise sur les opérations et d’être dotés des bonnes compétences. »
Les équipes de TI doivent se munir de plans d’action avec des mécanismes de suivis. La transmission d’informations quant à l’évolution des projets doit se faire en continu et non pas dans un rapport annuel.
« Il faut faire comprendre l’état actuel des lieux d’une façon agile pour que la direction soit en mesure de prendre des décisions rapides, précise l’expert. Faire des plans sur deux ou trois ans, c’est archaïque. On peut s’accommoder d’enveloppes budgétaires définies, mais il faut être capable de réallouer les fonds, de reprioriser. Tout va tellement vite : on travaille avec des technologies qui n’existaient même pas il y a deux ans ! »
Les responsables des TI sont victimes de leur domaine. Des positions prises il y a six mois ou un an ne sont parfois plus les bonnes en raison de changements technologiques ou de la présence de nouvelles menaces. La direction doit en être consciente.
La crédibilité des équipes de TI est également affectée par la complexité de leurs activités, par les coûts élevés des interventions, par les inévitables changements de cap et parce qu’elles sont souvent appelées à éteindre des feux. Généralement à court de personnel, elles se retrouvent à réagir au lieu d’être proactives.
« Être organisé, avoir un plan, communiquer adéquatement les risques et les problématiques, demeurer concret et amener des solutions vont rendre les équipes des TI crédibles, note Guillaume Clément. Quand tu seras crédible, il sera plus facile de développer une culture de cybersécurité. Cette posture ne s’impose pas, elle se cultive. »
