La sécurité des systèmes d’information au sein des entreprises se trouve aujourd’hui menacée par plusieurs facteurs. Le tout premier est la multiplication des cyberattaques toujours plus sophistiquées. L’Agence nationale de la sécurité des systèmes d’informations (Anssi) a ainsi déclaré avoir traité quatre fois plus de cyberattaques au rançongiciel entre 2019 et 2020.
En outre, le recours au télétravail et la nécessité de mettre à disposition des salariés des outils informatiques dans le cadre de la crise sanitaire liée au coronavirus, et le pouvoir accru de ces mêmes salariés sur leurs données personnelles constituent également des éléments interférant dans la gestion de la sécurité informatique.
A l’initiative du Conseil de l’économie et de l’information du digital, le Club des Experts de la Sécurité de l’information et du Numérique a publié en 2016 un guide de la cybersécurité pour les dirigeants d’entreprise, qui trouve désormais tout son sens dans le contexte actuel. La cybersécurité n’est, en effet, plus seulement l’affaire des informaticiens et des spécialistes, mais aussi et surtout des dirigeants d’entreprise.
La cybersécurité doit aujourd’hui être intégrée dans les stratégies de gouvernance des entreprises. En effet, ces dernières détiennent désormais une quantité d’informations et de données personnelles importante, notamment grâce à leur transformation digitale. Or, ces données personnelles sont considérées comme une plus-value, un atout qui améliore la compétitivité des entreprises. La conformité au RGPD est, à titre d’exemple, devenue un critère de choix pour définir les relations commerciales. La protection des données à travers la cybersécurité est, en conséquence, devenue impérative.
Deux aspects sont ainsi soulignés dans le guide. Tout d’abord, la nécessité d’une communication efficace entre les différents métiers, les responsables des systèmes d’information et les dirigeants. Les collaborateurs doivent être sensibilisés aux enjeux de sécurité informatique, pour qu’ils soient aussi responsables. On considère que 60% des cyberattaques sont liées à des comportements humains inadéquats. Ensuite, le guide souligne que la responsabilité civile et pénale des dirigeants peut être engagée en cas de faute de gestion. Certaines compagnies d’assurances peuvent refuser d’assurer les dirigeants et de couvrir la responsabilité civile des mandataires sociaux si leur entreprise n’est pas elle-même assurée contre le cyber-risque.
La négligence en matière de sécurité informatique n’est donc plus possible. Il est conseillé aux dirigeants d’entreprises de documenter leurs procédures, de faire appel à des professionnels qualifiés pour tester leur sécurité informatique et pour réaliser des audits réguliers. Ils doivent faire preuve de diligence et pouvoir démontrer qu’ils ont fait le nécessaire pour prévenir le cyber-risque.