CSO vs CEO : Les différences de point de vue sur la sécurité des données, partie I

ceo - cso

Cet Article fait partie de la série “CSO vs CEO : Les différences de point de vue sur la sécurité des données”. Consultez les autres articles liés ici.

Si vous voulez vraiment connaître les divergences d’opinion entre l’équipe informatique et les dirigeants, étudiez attentivement le Cyber Balance Sheet Report de 2017 de Cyentia Institute. Cyentia a été fondé par Wade Baker, le statisticien et penseur favori du blog IOS, spécialisé dans les violations de données. S’appuyant sur une enquête réalisée auprès de plus de 80 membres de conseil d’administration et cadres informatiques, Cyentia a réparti les divergences de points de vue des CSO et du conseil d’administration (CEO compris) en matière de sécurité des données en six domaines.

Le constat principal est que leur différence de point de vue ne vient pas seulement du fait que l’équipe informatique ne parle pas le même langage que les cadres supérieurs. Elle est également due au fait que les techniciens informatiques et les dirigeants ont une conception et une réflexion différentes en ce qui concerne les idées, les valeurs et les indicateurs de base utilisés dans le domaine de la sécurité. Il est important de mettre tout le monde d’accord, alors je ne peux que saluer les efforts de Cyentia.

Le rapport et ses résultats ont inspiré (merci Wade !) cette mini-série de billets du blog . Il constitue ma modeste contribution pour aplanir les divergences d’opinion, et tenter de mettre tout le monde d’accord. (Ensuite, je m’attaquerai à la paix dans le monde.)

Dans ce premier billet, nous allons examiner certains des résultats et observations étonnants du Cyber Balance Sheet. Dans le deuxième et le troisième billet, je tenterais de jouer au conseiller matrimonial et d’expliquer les idées des uns aux autres.

Lorsque deux mondes s’entrechoquent

Commençons par nous pencher sur un des résultats les plus contraires à l’intuition révélé par l’étude.

Cyentia a demandé aux CSO et aux membres du conseil de noter la valeur de la cybersécurité pour leur entreprise dans cinq catégories : conseils en sécurité, rôle catalyseur pour l’activité, réduction des pertes, protection des données et protections de la marque (voir graphique ci-dessous).

CSO

Source : Rapport Cyber Bilan, 2017 (Institut Cyentia)

Oui, je suis légèrement surpris que la protection des données soit considérée comme importante par moins de 30 % des CSO mais plus de 80 % des membres du conseil. Je suis peut-être un idéaliste un peu dingue, mais il me semblait que la cybersécurité était la mission principale des CSO !

L’explication de Cyentia concernant ce point mérite d’être mentionnée : « Bien entendu, les CSO savent que la protection des données est de leur ressort… alors ils ont appris à positionner la protection des données plutôt comme un catalyseur que comme un centre de coût. »

Je pense que ce que veut dire Cyentia, c’est que les CSO sont convaincus d’apporter une valeur réelle à leur entreprise, et pas uniquement des frais — et de ne pas fournir seulement un service de protection des données. Et cela colle bien avec le fait que 40 % des CSO se considèrent comme des facilitateurs d’affaires. Toutefois, les membres du conseil d’administration ne sont pas du même avis, puisque seulement 20 % d’entre eux le pensent.

Tout ceci vient du fait qu’ils n’ont pas la même façon d’appréhender l’importance de la cybersécurité pour la « protection de la marque » : plus de 60 % des membres du conseil d’administration la considèrent comme importante pour la protection de la marque, tandis que les CSO sont moins de 20 % à considérer que la cybersécurité joue un rôle dans ce domaine.

Je ne suis pas surpris que les CSO ne considèrent pas que leur travail concerne la politique de la marque. Je ne les en blâme pas vraiment. Je peux presque les entendre crier « Je suis un professionnel de l’informatique, pas un défenseur de la marque ».

Mais examinons ceci du point de vue du risque, qui est celui adopté par les CEO et membres du conseil. Comme l’a indiqué l’un des membres du conseil dans le rapport, leur principale préoccupation réside au niveau des conséquences légales et commerciales que peut avoir une violation de données. Ils savent qu’un piratage ou une attaque perpétrée par une personne interne peut porter gravement atteinte à la réputation de l’entreprise, et entraîner une baisse des ventes et des actions en justice, qui se traduisent par des pertes financières. Cela ne fait aucun doute, l’atteinte à l’image de marque est un problème qui concerne les membres du conseil !

Ponemon, bien sûr, a traqué les coûts directs et indirects énormes liés aux incidents de violation dans ses propres rapports annuels, et les actualités récentes ne font que confirmer les preuves constatées.

Cyentia a identifié un écart énorme entre ce que les CSO et les membres du conseil considèrent comme important au niveau de la valeur de la cybersécurité. Ceci constitue l’introduction parfaite à un autre résultat lié aux indicateurs de sécurité.

Et maintenant, parlons risques

Les indicateurs mesurés dans le rapport (voir section 4) sont également révélateurs, et apportent plus de précisions sur cette différence de point de vue. Bien entendu, les CSO sont focalisés sur certains indicateurs informatiques, en particulier liés aux incidents de sécurité, réponses, gouvernance, etc.

CSO

C’est une sacrée différence par rapport aux membres du conseil ! Les CSO minimisent l’importance des risques. (Source : Cyentia Institute)

 

Cyentia nous indique que les deux points de vue s’équilibrent au niveau de nombreux indicateurs informatiques. Toutefois, il existe un écart important entre l’avis des CSO et celui du conseil d’administration concernant l’importance des indicateurs de « position face aux risques ». Celle-ci est mentionnée par 80 % des membres du conseil, contre seulement 20 % des CSO. Une différence de taille.

Et ça donne quoi ?

L’équipe informatique adore les indicateurs de sécurité opérationnelle : ceux dont on a parlé plus haut, ainsi que de nombreux détails sur les opérations quotidiennes comme le statut des correctifs, les statistiques d’analyse des malwares et virus, etc.

Mais ce n’est pas ce que les membres du conseil (qui ne sont pas aussi affûtés techniquement au niveau informatique) considèrent comme important pour leur travail !

Ces gars ont une immense expérience dans la conduite d’entreprises. Les CEO et leurs conseils, bien évidemment, doivent se projeter dans l’avenir et ces experts des affaires s’attendent à ce qu’un certain degré d’incertitude se glisse dans leurs plans. Cela fait partie de leur quotidien.

Ce qu’ils attendent de l’informatique, c’est une quantification de la gravité des conséquences d’une violation, d’une attaque perpétrée par une personne interne ou d’une divulgation accidentelle, en monnaie sonnante et trébuchante, et de la fréquence ou probabilité que ces événements se produisent.

Considérez-les un peu comme des parieurs haute technologie très disciplinés qui connaissent toutes les probabilités de chaque résultat et en tiennent compte pour faire leurs paris.
Conseil de pro : ils sont probablement très forts au poker, ne les défiez pas.

 

Pour la prochaine fois

Si vous voulez prendre un peu d’avance, jetez un œil à la présentation donnée par Evan Wheeler à l’occasion de la conférence RSA de cette année. Evan est à la fois CISO et expert en gestion des risques. Si vous voulez comprendre ce qu’est un profil de risque, écoutez son explication, vers la 25ème minute de la vidéo.

Sa conclusion est que les dirigeants d’entreprises sont intéressés à la fois par les événements de cybersécurité rares qui induisent des pertes importantes (comme Equifax) et par les événements plus courants mais qui entraînent généralement des coûts bien plus faibles, comme les e-mails de spam pour obtenir les numéros de carte de crédit que l’entreprise utilise pour les voyages. Il abordent chacun de ces problèmes avec une approche différente.

Nous creuserons un peu plus le problème la prochaine fois lorsque nous nous pencherons sur les « probabilités de dépassement », qui correspondent en gros à une version plus quantifiée d’un profil de risque. C’est un sujet captivant auquel les CSO devraient s’intéresser.

Le rapport Cyentia contient d’autres statistiques intéressantes – vous ne serez pas au bout de vos surprises lorsque vous examinerez le graphique illustrant les différentes perspectives sur l’efficacité de la sécurité. Je vous invite fortement à le télécharger pour réfléchir à ce qu’il nous apprend. Cela vaut la peine.