5 questions de sécurité pour les dirigeants
Conseils post-pandémie
Alors que le monde se dirige à grand pas vers la reprise, les conseils d’administration, toutes tailles d’entreprises confondues, s’interrogent sur la suite. Et dans ce que certains appellent « le monde d’après », il est amplement question de sécurité. Dans la plupart des CA, le constat est le même : la relation à la cybersécurité a changé.
Je dirais que dans ce domaine, les CA entrent dans deux catégories : ceux qui adoptent une position défensive et ceux qui jouent l’attaque, pour utiliser une parabole sportive. Pour les adeptes du repli défensif, la cybersécurité reste un centre de coûts et un élément tactique servant des objectifs de disponibilité et de fiabilité. Chez les partisans de l'attaque, en revanche, on considère l’informatique comme un élément stratégique et un levier de transformation de l’activité.
Les CA offensifs cherchent à transformer la fonction IT en un centre de profit. Innovants et de plus en plus nombreux, ils étudient tous les relais de croissance potentiels tout en cherchant à réduire les risques.
Priorités des CA pendant la pandémie
Pour de nombreux CA, l’IT a joué un rôle fondamental pendant la pandémie. Car c’est bien à cette fonction que l’on doit le basculement rapide en télétravail et le maintien des capacités opérationnelles des entreprises pendant les mesures de confinement
Le télétravail n’est certes pas une nouveauté, mais de nombreux DSI n’auraient jamais admis, avant la pandémie, que plus de 90 % de leurs effectifs travaillent depuis leur domicile. Même s'ils s'y sont pliés plus par contrainte que par choix, dirigeants et administrateurs ont fini par admettre que l’on pouvait être productif même sans bouger de chez soi.
Pendant la pandémie, lorsque le télétravail est devenu un impératif de survie, les priorités ont rapidement changé, l’enjeu étant de sécuriser les connexions distantes. En analysant les modèles d’accès, dirigeants et administrateurs se sont posés une question essentielle : la totalité du trafic doit-elle passer par les data centers d’entreprise (backhaul) ou un accès direct au cloud est-il préférable ? Autre sujet de réflexion brûlant, et toujours d’actualité : la capacité de résilience des entreprises.
Résilience et innovation post-pandémie
Les CA progressistes ajoutent à la question de la résilience celle de l’évolution de leurs modes de fonctionnement et d’innovation. Ils sont nombreux à s’interroger sur ce qu’ils peuvent changer, en mieux, par rapport à l'avant 2020. Ils ont donc sollicité l’exécutif quant aux mesures à mettre en place pour garantir qu'en cas de nouveau choc, leur organisation ait l'évolutivité, les capacités et la stratégie adaptées pour affronter la tempête et en sortir plus forte.
Playbook post-pandémie à l’intention des CA
Au sortir de la pandémie, les administrateurs attendront des Comex qu'ils apportent des réponses aux cinq questions suivantes :
- Quel est l'impact économique de l’IT ? Les administrateurs demanderont aux DSI de chiffrer la contribution de la stratégie technologique au chiffre d’affaires de l'entreprise. Pour répondre à cette question, l’IT devra produire un programme de transformation numérique complet qui, outre la technologie, intègrera les risques. Le DSI ne pourra pas se contenter d’affirmer au CA qu’il faut investir dans la technologie ; il devra développer un argumentaire complet avec une vue à 360 degrés.
- Maîtrisez-vous les risques métiers de l’entreprise ? Les administrateurs devront avoir une vision claire de l’ensemble des répercussions d'une compromission de sécurité sur l’entreprise, tant sur les aspects technologiques que sur l'humain et les processus. Ils exigeront que les responsables de la cybersécurité prennent toutes les mesures nécessaires pour réduire, voire accepter ces risques.
- Quelles sont les priorités IT côté métiers ?La pandémie a changé les priorités. Pour de nombreuses entreprises, cela s'est traduit par la mise en pause d’un grand nombre de projets informatiques. Alors que l'on revient à la normale et que les collaborateurs retournent progressivement au bureau, les administrateurs veulent connaître les priorités IT de l’entreprise et l’incidence de ces projets sur la sécurité.
- Quelle est la voie de l’innovation pour l’entreprise ? Les CA sont, par nature, très orientés sur l’avenir. Ils veulent avoir la certitude que leur entreprise innove et a mis en place des programmes de transformation pour stimuler la croissance. Alors que les métiers se penchent sur les questions de dématérialisation et de migration vers le cloud pour le développement d'applications, le stockage et les ressources de calcul, les administrateurs, eux, savent qu'il n'est point de transformation numérique sans cybersécurité.
- Que fait l'IT pour s'améliorer ? Les administrateurs veulent savoir quelles actions le DSI et le CSO ont mis en place pour mettre à jour leurs compétences et celles de leurs équipes IT. Cette question soulève d’autres problématiques concernant la gestion des talents, l’attraction des compétences adaptées et la formation continue des collaborateurs déjà en poste. Le CA doit être informé des plans de développement professionnel mis en place pour les responsables IT. Ici, la question est de savoir si la fonction IT développe des compétences en phase avec les innovations qu'impose leur activité.
Avec la pandémie, les organisations ont appris le sens du mot résilience. Mais à l'heure où la reprise économique mondiale se profile, elles devront également actionner des leviers de croissance et d’innovation. Et la gestion du risque en constitue désormais un élément crucial