Maîtrise du risque numérique, l’atout de confiance
Un guide dédié aux dirigeants des organisations publiques et privées de toutes tailles
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Association pour le management des risques et des assurances de l’entreprise (AMRAE) publient « Maitrise du risque numérique, l’atout de confiance ». Ce guide de 60 pages accompagne les dirigeants d’organisations publiques et privées de toutes tailles dans la gestion du risque numérique.
La gestion du risque numérique est généralement déléguée aux experts techniques, or aujourd’hui, elle est devenue stratégique et doit être traitée au plus haut niveau de l’organisation. Dans un contexte où les PME/TPE sont prises pour cibles par les cybercriminels, il est essentiel pour celles-ci de comprendre le risque, de bâtir un socle de sécurité et de le piloter.
Ce guide fourni une démarche rationnelle et holistique visant à impliquer efficacement tous les acteurs de l’organisation pour lutter contre les cyber-risques.
« Avec ce guide, notre objectif commun est de faire en sorte que tout l’écosystème mette en place les conditions de la confiance numérique. Si l’entreprise a en permanence un œil sur ses vulnérabilités, elle pourra anticiper les scenarii les plus impactants, en évaluant leurs conséquences financières ou de réputation, et ainsi réduire le risque cyber » souligne Brigitte Bouquot, la présidente de l’AMRAE.
Au final, cette démarche permet de comprendre comment valoriser les efforts humains et financiers investis dans la cybersécurité.
Voici son sommaire et un extrait associé à chaque partie :
#1 Prendre la mesure du risque numérique
Pour être efficace, une politique de management du risque numérique nécessite donc d’être comprise et soutenue par l’ensemble des parties prenantes de l’organisation, à commencer par son dirigeant.
L’évolution du risque numérique dans l’organisation engage dorénavant la responsabilité du dirigeant vis-à-vis de sa gestion et de son traitement. Cette responsabilité est accentuée par les réglementations actuelles (RGPD 1 , NIS 2 , LPM 3 , etc.).
1 Règlement général sur la protection des données (RGPD)
2 Directive européenne Network and Information Security (NIS)
3 Loi de programmation militaire (LPM)
2# Comprendre le risque numérique et s'organiser
Appréhender et comprendre son activité numérique précèdent toute démarche de gestion du risque numérique. L’activité d’une organisation repose sur des processus et informations qui la lient à ses fournisseurs, ses clients, ses administrés, ses partenaires, etc. Ces valeurs métiers, comme les nomme l’ANSSI, sont elles-mêmes supportées par le système d’information, qu’il importe de cartographier très tôt.
#3 Bâtir son socle de sécurité
Le facteur humain est l’un des leviers d’action privilégiés par les attaquants. Il est donc essentiel de l’inclure dans la stratégie de sécurité numérique de l’organisation. Pour y parvenir, des actions de sensibilisation ou la conduite d’exercices réalistes peuvent être organisées. L’enjeu est de développer une véritable culture de la sécurité numérique de telle sorte que les membres de l’organisation, appuyés de procédures de sécurité, parviennent à déjouer les pièges les plus courants tendus par les attaquants.
Sur ce point, nous vous accompagnons à travers notre newsletter mensuelle ! Vous pouvez facilement y inscrire votre équipe via ce lien : https://www.alliance-informatique.fr/revue-blog/sensibiliser-et-informer-vos-salaries-une-obligation-du-rgpd/
#4 Piloter son risque numérique et valoriser sa cybersécurité
Evaluer le retour sur investissement des efforts consacrés à la sécurité numérique reste difficile, tout comme de quantifier leurs bénéfices. En valorisant ces investissements et en adoptant une approche Cyber Business Partner, l’organisation peut développer son avantage concurrentiel, aborder de nouveaux marchés, générer de la croissance et faire évoluer positivement et stratégiquement son image.