Un excellent point de vue de Guillaume Poupard qui met en exergue la nécessité d’impliquer les Comex et les conseils d’admistration dans la gestion des risques cyber – voir l’article.
« On ne peut pas à la fois dire que le cyber fait dorénavant partie du top trois des risques qui pèsent sur les entreprises et, en pratique, juger qu’il ne s’agit que de considérations techniques qui n’ont pas leur place dans les conseils. » Certaines des mesures permettant de maîtriser le risque cyber sont certes techniques, notamment les outils ou process informatiques nécessaires. Mais d’autres ne le sont pas, souvent parmi les plus importantes, et nécessitent l’implication de la direction : identification des menaces sur le business et des risques associés, mise en place de stratégies et de politiques de sécurité de l’information, sensibilisation des dirigeants et des équipes, transfert des risques aux assureurs ou cocontractants, responsabilisation des métiers sur la maîtrise de leurs risques, politique de contrôles et d’audits, exigences envers les partenaires et prestataires, charte informatique…
Et dans tous les cas, c’est la direction qui définit l’appétence au risque de la société, prononce les arbitrages budgétaires et s’assure que tous les métiers et fonctions support coopèrent aux effort de maîtrise des risques cyber.