Comment présenter les questions de cybersécurité à son Pdg ?
DSI et RSSI ont besoin de présenter les questions de sécurité à leur comité de direction. Pour cela, ils ont besoin de «laisser les acronymes à la porte", d'utiliser des présentations PowerPoint et de faire comprendre et visualiser les menaces.
S'exprimant lors d'un séminaire sur la cyber-sécurité à la conférence CeBIT Australia, avec le DSI d'Australia Post, Troy Braban, et le responsable mondial pour ANZ Banking Group en matière de sécurité des risques et des technologie de l'information, David Fis-her. Le CIO de GPT Group (un groupe immobilier coté), Greg Baster pour sa part, a sou-ligné qu'il tentait de résumer les questions de cybersécurité pour son conseil d'adminis-tration mais que c'était une vraie difficulté.
«Je m'assure que cette présentation soit suffisamment simplifiée et précise en termes d'évaluation de nos risques de cyber-sécurité," précise Greg Baster. «Je laisse générale-ment les acronymes sur la sécurité à la porte. Plus nous pouvons visualiser la sécurité et mieux c'est. Greg Baster suggère que les DSI utilisent des diapositives PowerPoint pour simplifier et briser des concepts de sécurité informatique, plutôt que de simplement parler en termes techniques.
Sur le même sujetUn PDG américain "viré" après une cyber-attaque contre son entreprisePlus proactifs
"Les chiffres parlent d'eux-mêmes. Et le coût de l'amélioration de la sécurité par rapport au risque est une bonne façon de justifier les investissements ». En outre, un événement tel que le bug Heartbleed qui a frappé les médias grand public en avril 2014 a également «contribué à la conversion» des dirigeants. Par exemple, le Sydney Morning Herald a rapporté que les sites Web financiers gérés par GE Money étaient vulnérables à cette faille de sécurité Heartbleed.«Nous sommes passés d'une vision de la sécurité basée sur la conformité à une vision beaucoup plus proactive, pour aller de l'avant », estime Greg Bas-ter.
Quant à Troy Braban, d'Australia Post, nommé il y a deux ans, il a reconnu que le service postal et ses services numériques en ligne pourraient être menacés par les cyber-criminels. Il explique avoir des contacts réguliers avec son comité de direction pour lui pré-senter des rapports mensuels de cybersécurité. "Nous avons aussi une gamme de forums où nous arrivons à discuter des questions de cybersécurité et de la façon dont nous gé-rons l'angle du risque ».
Ne pas jouer la peur
Toujours selon Troy Braban, les RSSI doivent éviter de jouer la «peur, l'incertitude et le doute quand il s'agit de la cyber-sécurité. «Nous devons nous concentrer sur la façon dont nous permettrons à l'entreprise de s'intéresser à la stratégie et au rôle qu'elle peut avoir en matière de sécurité".
Le représentant d'ANZ Banking Group devait insister pour sa partie, sur la hausse des cyber-criminels qui attaquent les banques en ligne. David Fisher a déclaré : " nous nu-mérisons nombre de nos services comme les services bancaires en ligne mais c'est la technologie qui pose la plus grande menace". Il a convenu avec Baster et Braban que les professionnels de la sécurité doivent éviter de parler technique lors de la présentation à une commission.
photo : Longueuil
