Pourquoi le dialogue entre Directeur des systèmes d’information & dirigeants d’entreprise est-il essentiel pour une gouvernance d’entreprise efficace ?

13 Juillet 2017 / Par Romain Isaac

Le rôle du DSI, Directeur des systèmes d’information (ou CISO en anglais), est essentiel à l’adaptation de l’infrastructure informatique des entreprises. Il est de plus en plus courant d’affirmer que le rôle du DSI devient fondamental dans les nouvelles formes d’organisation et de gestion du travail, notamment lorsqu’il est question de données hautement stratégiques et confidentielles. D’après une récente étude de The Economist Intelligence Unit sur un échantillon de plus de 200 dirigeants d’entreprise et responsables de département, le DSI est devenu un acteur stratégique, qui, aux côtés de la direction, accompagne le changement informatique nécessaire à l’adaptation des métiers.

Pourtant, même si 83 % des dirigeants perçoivent aujourd’hui la contribution du système d’information à la sécurité, à la génération d’économie, et plus généralement à la gouvernance d’entreprise, « la direction de l’information représente le plus souvent encore une simple fonction de support et non un atout stratégique », résume l’étude de l’Economist Intelligence Unit.

Le rôle des dirigeants dans la cybersécurité de l’entreprise

Une étude du Cercle Européen de la Sécurité et des Systèmes d’Information pointe les disparités de perception de responsabilité entre les responsables IT et les dirigeants d’entreprises en matière de cybersécurité. Les dirigeants ont en effet la fausse impression que la prévention a déjà été faite dans leur entreprise. Pourtant cette perception est en décalage avec la réalité opérationnelle, si bien que la politique de cybersécurité est freinée par les dirigeants eux-mêmes.

Ce constat peut s’expliquer par le sentiment de protection des dirigeants face aux risques : 80% d’entre eux considèrent leur entreprise suffisamment protégée et plus d’un dirigeant sur deux juge sa politique de sécurité proactive. Pourtant, parmi les éléments symptomatiques du décalage entre les deux métiers, la responsabilité en cas d’une intrusion informatique est tout-à-fait représentative. Les deux entités se renvoient la responsabilité : 35% des dirigeants estiment que la responsabilité revient aux DSI quand ces derniers estiment à 50% que les dirigeants sont responsables.

Un décalage important entre DSI & dirigeants d’entreprise sur les coûts d’une cyberattaque

La prise de conscience est encore lente. Selon une étude réalisée par le Palo Alto Networks auprès de 765 décideurs d’entreprises de plus de 1000 collaborateurs (en Allemagne, France, Royaume-Uni, Belgique et Pays-Bas), on apprend que 13 % des dirigeants seulement estiment « relativement » comprendre ce à quoi correspond un risque de sécurité informatique pour leur entreprise tout en reconnaissant avoir « encore besoin de Google pour aider à l’expliquer ». Un dixième des employés estiment quant à eux que leurs dirigeants n’ont pas de compréhension réelle du sujet, ou tout du moins suffisante pour protéger effectivement leur entreprise.

En ce qui concerne le coût d’une cyberattaque, DSI & dirigeants ne s’accordent pas non plus. Pour les DSI, le coût d’une cyberattaque est estimé en moyenne à 19,2 millions de dollars. Pour le management, il est seulement de 11 millions de dollars. Cette disparité se répercute sur les prévisions d’investissement en matière de cybersécurité. 82% des équipes informatiques considèrent ces dépenses comme une partie de la stratégie globale. Ils ne sont que la moitié chez les dirigeants à partager cette opinion.

Vers une culture de la cybersécurité adoptée par l’ensemble de l’entreprise

La mise en œuvre d’une gouvernance efficace passe par l’adoption de solutions en concertation avec l’ensemble de la chaîne de valeur de l’entreprise. Un conseil sans papier notamment permet de bénéficier à tous les paliers organisationnels de l’entreprise.

  • Réduction de la charge de travail des secrétaires corporatives
  • Temps de préparation des conseils d’administration diminué (4 heures avec un conseil sans papier versus 16 heures en moyenne avec un conseil classique).
  • Meilleure performance des administrateurs
  • Sécurité pertinente et proactive dans un contexte de cyberattaques en croissance
  • Une économie des dépenses de gestion très sensible : on obtient jusqu’à 37% d’économie lorsque le conseil d’administration s’investit activement pour la cybersécurité de son entreprise (source : Hewlett Packard Enterprise)

Une stratégie de sécurité informatique bien menée impacte positivement toute l’entreprise. Comme le souligne David Allison, expert en cybersécurité, « la sécurité a besoin d’être une culture diffusée au sein de l’organisation ». « C’est au PDG de mettre en place cette culture. Le responsable de la sécurité informatique (RSSI) définit et exécute la stratégie répondant à ce besoin – et chaque salarié est responsable de l’adoption et du suivi des pratiques requises ».

Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Email this to someone