Accueil > Le Blog > Cybersécurité

Cybersécurité : les 5 clés du DG pour mettre en confiance son DSI

par | 18 Oct 2021

En tant que directeur général, vous n’êtes pas toujours à l’aise pour parler de cybersécurité mais vous savez néanmoins qu’elle est désormais critique pour la bonne santé de votre entreprise ? Voici nos cinq conseils pour devenir le meilleur ambassadeur de votre DSI, au sein de votre entreprise comme à l’extérieur.

neon serrage de main entre DSI et DG

h

Sommaire

$

1. Élaborez avec lui la politique de sécurité des systèmes d’information (PSSI)

$

2. Fixez-lui des objectifs clairs, chiffrés et accompagnés d’une feuille de route

$

3. Faites des points réguliers avec lui

$

4. Rejoignez des clubs de cybersécurité, comme le Césin ou le Clusif

« C’est pour un problème de cybersécurité ? Voyez avec mon DSI ! » Cette phrase, qu’on a tendance à beaucoup entendre chez les décideurs, a probablement été prononcée par Gregg Steinhafel, PDG du géant américain de la grande distribution Target. Ou même par Amy Pascal, DG de Sony Pictures. Pourtant, les deux ont été poussés vers la sortie à cause d’une cyberattaque – l’un en 2014, l’autre en 2015.

Que vous soyez le co-fondateur d’une start-up ou le DG d’un groupe international, les cyber-incidents finiront toujours par se retourner vers vous… s’ils arrivent. Sur le long chemin qui mène à la sécurisation de vos systèmes d’information, mieux vaux ainsi avancer main dans la main avec votre DSI.

1. Élaborez avec lui la politique de sécurité des systèmes d’information (PSSI)

Vous venez de recruter un DSI ? Chargez-le dès le début, en collaboration avec votre directeur technique (CTO), de commander un audit de cybersécurité de votre entreprise. C’est une première étape importante pour qu’il comprenne ce qui va et ce qui ne va pas et se familiarise avec les actifs et les process de ses collaborateurs. Elle peut également lui faire gagner un temps considérable, et donc vous faire économiser de l’argent.

Ensuite, établissez avec lui le document de base de la politique de sécurité des systèmes d’information (PSSI), où vous indiquerez les choses à faire et à ne pas faire, comme :

  • L’interdiction d’utiliser son adresse e-mail personnelle à des fins professionnelles ;
  • L’interdiction d’utiliser des objets connectés au réseau non validés par l’équipe du DSSI ;
  • Utilisation systématique de VPN à chaque accès au système d’information de l’entreprise à distance ;

2. Fixez-lui des objectifs clairs, chiffrés et accompagnés d’une feuille de route

En cybersécurité, l’un des mots d’ordre est « le risque zéro n’existe pas ». Vos DSI et RSSI ne pourrons pas tout sécuriser, votre entreprise ne sera jamais 100 % robuste contre les attaques.

C’est pourquoi vous devez, dès le début, lui faire comprendre quelles sont les priorités :

  • Qu’est-ce qui a le plus de valeur au sein de votre entreprise : les données de vos clients, que vous manipulez ? Ou l’outil de production, qui vous ferait perdre des millions s’il venait à s’arrêter ?
  • Y a-t-il des actifs plus critiques que d’autres ?
  • Des équipes plus exposées que d’autres ?

Une fois que le DSI a bien compris par où il devra commencer son travail de sécurisation, donnez-lui des objectifs chiffrés et un calendrier, avec un budget annuel clair et transparent et des points d’étapes, à faire valider.

Aussi, inscrivez ces objectifs dans les stratégies plus globales de l’entreprise – prévision de s’exporter en Europe dans les cinq ans, par exemple – et soyez le plus transparents possibles à ce sujet.

3. Faites des points réguliers avec lui

En plus de ces réunions d’évaluation, fixez-lui aussi un rendez-vous régulier, hebdomadaire ou mensuel, par exemple. Celui-ci pourra lui permettre de vous faire un rapport sur ce qui avance bien ou sur les problèmes qu’il rencontre.

Vous pouvez lui proposer de donner plus de sens à ces réunions avec quelques petites astuces :

  • Invitez-y à chaque fois une tierce personne, le RSSI, le CTO, le DPO ou même, par exemple, le référent cybersécurité d’un site industriel.
  • Proposez-lui de définir un thème à chacun de ces rendez-vous réguliers (exemples : la politique anti-phishing de l’entreprise ou le déploiement de l’authentification forte).

4. Rejoignez des clubs de cybersécurité, comme le Césin ou le Clusif

… et allez y avec lui – quand vous le pouvez, bien sûr.

Encouragez-le également à s’impliquer dans les communautés de partage d’information sur les menaces cyber, qu’elles soient à l’échelle globale (Anssi, Inter-CERT FR, salons…) ou sectorielle, comme les Centre de partage et d’analyse des informations (ISAC), sortes de clubs réunissant les entreprises d’un même secteur pour échanger autour de la cybersécurité. Monnaie courante aux Etats-Unis, ces associations sont de plus en plus commune en France.

Share This