Ce que votre conseil d`administration veut savoir

L e s s t r at é g i e s d e s éc urit é du suc c ès
4
secrets pour mener des
discussions de sécurité utiles
avec le conseil d’administration
Les conseils d’entreprises ont fait de la sécurité leur priorité. Voici comment engager
avec eux un dialogue stratégique sur un sujet décisif en termes de profits.
« La sécurité est
progressivement passée du
statut de simple
problème
technique à
celui bien plus
large d’intérêt
stratégique
du ressort du
conseil d’administration. »
—Kurt Roemer
responsable des
stratégies de
sécurité
Citrix
Jusqu’à présent la sécurité était le domaine réservé des directions
informatiques. Mais désormais, devant la prolifération de menaces
de plus en plus sophistiquées s’étendant par delà les frontières,
l’essor du cloud computing, de la mobilité, du BYOD, la sécurité a
finalement accédé à l’honneur suprême : elle dispose désormais
d’un siège au conseil d’administration de l’entreprise.
« La sécurité est progressivement passée du statut de simple
problème technique à celui bien plus large d’intérêt stratégique du
ressort du conseil d’administration, » déclare Kurt Roemer, responsable des stratégies de sécurité chez Citrix.
Cet intérêt accru n’est pas surprenant, étant donné l’importance des
risques pesant désormais sur la sécurité (exposition des informations
sensibles, dégradation de l’image de l’entreprise et surtout diminution
du bénéfice). Pour les décisionnaires informatiques, il se traduit par des
discussions plus fréquentes avec les membres du conseil d’administration à propos des piliers stratégiques indispensables à un plan de
sécurité solide : stratégies, mécanismes d’application, suivi et publication de rapports. Pour aborder correctement ces réunions, adoptez les
meilleures pratiques suivantes :
1. Parlez la même langue que les
membres du conseil d’administration
Les membres du conseil d’administration abordent les problèmes
d’entreprise en parlant un langage d’entreprise et non un langage
technique. Faites de même lors de ces réunions, en mettant l’accent
sur les menaces critiques, les risques matériels qu’elles posent, les
meilleures options pour les contrecarrer et la planification de la réaction aux violations.
Soyez concis lorsque vous abordez ces sujets et évitez les conjectures. Les
membres du conseil ne s’intéressent qu’aux faits. Appuyez-vous également sur des graphiques et des schémas clairs et facilement compréhensibles, pour illustrer les points importants comme par exemple la posture
de sécurité actuelle de votre entreprise et ses objectifs futurs.
« De cette façon, vous pouvez montrer au conseil d’administration
exactement là où vous êtes, là où vous voulez aller et comment vous
voulez y aller, » précise Stan Black, responsable de la sécurité des
informations chez Citrix.
Soyez également préparé à répondre à beaucoup de questions. Le
conseil voudra par exemple savoir comment l’entreprise se positionne par rapport à ses pairs sur son marché. Des réponses nettes,
informatives et approfondies rassureront et prouveront que la stratégie proposée est fondée.
L e s s t r at é g i e s d e s éc urit é du suc c ès
2.Expliquez les principaux éléments de
votre plan de limitation des risques
Les stratégies de limitation des risques bien conçues sont également
rassurantes. Ces stratégies doivent adopter une approche de type
« protéger ce qui compte le plus » afin de sauvegarder les données
les plus importantes, vulnérables et réglementées de votre entreprise. Le conseil voudra savoir comment vous aurez hiérarchisé
l’importance des données sensibles. N’oubliez donc pas de décrire le
processus que vous avez adopté. En outre, décrivez :
nVos stratégies de gestion de l’information d’entreprise,
dans le cloud comme sur les périphériques personnels et
d’entreprise, à l’intérieur et à l’extérieur de l’entreprise
nComment vous appliquez ces stratégies et formez vos
employés à les suivre
nComment vous procédez pour prévenir la perte de données
essentielles
Essayez notamment de faire comprendre aux membres du conseil
d’administration que les personnes comme elles, bénéficiant d’un
accès aux données les plus sensibles de l’entreprise, sont des cibles
importantes qui doivent être tout particulièrement vigilantes dans le
suivi des stratégies de sécurité. Assurez-vous également de mettre le
conseil au courant de toute modification éventuelle dans les obligations de gouvernance de votre entreprise, ainsi que des étapes que
vous envisagez d’adopter en réponse.
Bien évidemment, les menaces nouvelles et émergentes constituent
un danger réel quelle que soit l’efficacité de votre stratégie de limitation des risques. Il est donc souhaitable de déployer vos technologies
de sécurité par couches successives prenant en compte le réseau et
les utilisateurs, mais également leurs applications, les données et les
ressources de stockage.
3.Décrivez votre état de préparation
face aux risques de violations et votre
plan de réaction aux incidents
Même les mesures de sécurité les plus efficaces peuvent faire l’objet
d’attaques. Il est donc important de montrer au conseil que vous êtes
prêt en présentant votre plan de réaction aux incidents et en indiquant notamment qui compose l’équipe de réaction, qui est habilité à
l’activer et sous quelles conditions. Décrivez également votre plan de
communication interne et externe et indiquez les éléments déclenchant la divulgation au public de l’incident de sécurité. Certains de
ces éléments sont définis légalement, mais d’autres sont laissés à
votre discrétion et les membres du conseil d’administration doivent
vous indiquer le niveau de détail qu’ils souhaitent vous voir adopter.
En cas de violation, informez rapidement le conseil sur ce qui s’est
passé, indiquez-lui l’impact potentiel sur votre entreprise et sur vos
clients, le temps qu’il vous faudra pour résoudre le problème et ce
que vous comptez faire pour éviter qu’il se reproduise. Fournissez
aux membres du conseil des comptes-rendus réguliers et établissez
un calendrier précis afin qu’ils sachent quand aura lieu le prochain
compte-rendu.
4.Utilisez des indicateurs significatifs
pour mesurer le succès de vos actions
La plupart des conseils d’administration souhaitent contrôler l’évolution de la sécurité d’une façon suivie. Un tableau de bord de sécurité
leur fournira un accès rapide à l’information la plus pertinente.
« Le tableau de bord permet la visualisation des risques et permet
au conseil d’administration de contrôler la réduction des expositions
critiques, » explique Stan Black.
Utilisez des indicateurs simples à comprendre par le conseil d’administration et correspondant aux informations qu’ils attendent
(menaces identifiées, temps de réponse, périphériques égarés,
résultats d’audit, etc.). Mettez à jour vos indicateurs régulièrement,
adaptez-les à l’évolution des menaces ciblant votre entreprise et
informez le conseil de toute modification majeure apportée à votre
architecture, vos technologies ou à votre stratégie.
Animer une présentation devant le conseil d’administration peut être
une expérience nouvelle pour certains membres de la direction informatique, mais ne doit jamais être perçu comme quelque chose de
difficile. Avec l’aide des quelques conseils précédents, ces réunions
peuvent constituer une opportunité d’engager avec votre direction
générale un dialogue stratégique non seulement à propos de la sécurité, mais aussi à propos de la mobilité, du cloud computing et de
l’évolution de l’espace de travail. n
L’apport de Citrix
La sécurité n’a jamais autant intéressé les conseils d’administration et la technologie joue un rôle crucial dans la mise en place d’une
stratégie de sécurité efficace. Les technologies cloud Citrix garantissent la sécurité et la conformité des données d’entreprise stratégiques, tout en autonomisant les utilisateurs en leur permettant de travailler en tout lieu, à tout moment et sur tout périphérique.
Citrix XenDesktop permet aux entreprises de publier des applications et des postes de travail Windows au sein du datacenter, là où la
direction informatique peut assurer de façon centralisée la protection des données, la conformité, le contrôle d’accès et l’administration
des utilisateurs. Citrix XenMobile fournit de riches fonctionnalités de gestion de la mobilité d’entreprise, notamment un provisioning et un
contrôle des applications, des données et des périphériques basés sur l’identité. Citrix ShareFile permet aux utilisateurs de partager en
toute sécurité des données avec n’importe qui et de synchroniser leurs données sur tous leurs périphériques. Citrix NetScaler ajoute un
cadre de gestion unifié qui permet à l’équipe informatique de sécuriser, de contrôler et d’optimiser l’accès aux applications, aux postes
de travail et aux services sur tout périphérique.
Les solutions Citrix sont des systèmes « sécurisés par nature », soigneusement conçus pour limiter les vulnérabilités. Elles sont complétées par des produits de grande qualité proposés par des partenaires leaders sur le marché de la sécurité. Le résultat ? Une plateforme
complète de protection des informations qui garantit aux conseils d’administration une sérénité durable en matière de sécurité.
Pour en savoir plus, consultez www.citrix.fr/secure