Ce que votre conseil d`administration veut savoir
Transcription
Ce que votre conseil d`administration veut savoir
L e s s t r at é g i e s d e s éc urit é du suc c ès 4 secrets pour mener des discussions de sécurité utiles avec le conseil d’administration Les conseils d’entreprises ont fait de la sécurité leur priorité. Voici comment engager avec eux un dialogue stratégique sur un sujet décisif en termes de profits. « La sécurité est progressivement passée du statut de simple problème technique à celui bien plus large d’intérêt stratégique du ressort du conseil d’administration. » —Kurt Roemer responsable des stratégies de sécurité Citrix Jusqu’à présent la sécurité était le domaine réservé des directions informatiques. Mais désormais, devant la prolifération de menaces de plus en plus sophistiquées s’étendant par delà les frontières, l’essor du cloud computing, de la mobilité, du BYOD, la sécurité a finalement accédé à l’honneur suprême : elle dispose désormais d’un siège au conseil d’administration de l’entreprise. « La sécurité est progressivement passée du statut de simple problème technique à celui bien plus large d’intérêt stratégique du ressort du conseil d’administration, » déclare Kurt Roemer, responsable des stratégies de sécurité chez Citrix. Cet intérêt accru n’est pas surprenant, étant donné l’importance des risques pesant désormais sur la sécurité (exposition des informations sensibles, dégradation de l’image de l’entreprise et surtout diminution du bénéfice). Pour les décisionnaires informatiques, il se traduit par des discussions plus fréquentes avec les membres du conseil d’administration à propos des piliers stratégiques indispensables à un plan de sécurité solide : stratégies, mécanismes d’application, suivi et publication de rapports. Pour aborder correctement ces réunions, adoptez les meilleures pratiques suivantes : 1. Parlez la même langue que les membres du conseil d’administration Les membres du conseil d’administration abordent les problèmes d’entreprise en parlant un langage d’entreprise et non un langage technique. Faites de même lors de ces réunions, en mettant l’accent sur les menaces critiques, les risques matériels qu’elles posent, les meilleures options pour les contrecarrer et la planification de la réaction aux violations. Soyez concis lorsque vous abordez ces sujets et évitez les conjectures. Les membres du conseil ne s’intéressent qu’aux faits. Appuyez-vous également sur des graphiques et des schémas clairs et facilement compréhensibles, pour illustrer les points importants comme par exemple la posture de sécurité actuelle de votre entreprise et ses objectifs futurs. « De cette façon, vous pouvez montrer au conseil d’administration exactement là où vous êtes, là où vous voulez aller et comment vous voulez y aller, » précise Stan Black, responsable de la sécurité des informations chez Citrix. Soyez également préparé à répondre à beaucoup de questions. Le conseil voudra par exemple savoir comment l’entreprise se positionne par rapport à ses pairs sur son marché. Des réponses nettes, informatives et approfondies rassureront et prouveront que la stratégie proposée est fondée. L e s s t r at é g i e s d e s éc urit é du suc c ès 2.Expliquez les principaux éléments de votre plan de limitation des risques Les stratégies de limitation des risques bien conçues sont également rassurantes. Ces stratégies doivent adopter une approche de type « protéger ce qui compte le plus » afin de sauvegarder les données les plus importantes, vulnérables et réglementées de votre entreprise. Le conseil voudra savoir comment vous aurez hiérarchisé l’importance des données sensibles. N’oubliez donc pas de décrire le processus que vous avez adopté. En outre, décrivez : nVos stratégies de gestion de l’information d’entreprise, dans le cloud comme sur les périphériques personnels et d’entreprise, à l’intérieur et à l’extérieur de l’entreprise nComment vous appliquez ces stratégies et formez vos employés à les suivre nComment vous procédez pour prévenir la perte de données essentielles Essayez notamment de faire comprendre aux membres du conseil d’administration que les personnes comme elles, bénéficiant d’un accès aux données les plus sensibles de l’entreprise, sont des cibles importantes qui doivent être tout particulièrement vigilantes dans le suivi des stratégies de sécurité. Assurez-vous également de mettre le conseil au courant de toute modification éventuelle dans les obligations de gouvernance de votre entreprise, ainsi que des étapes que vous envisagez d’adopter en réponse. Bien évidemment, les menaces nouvelles et émergentes constituent un danger réel quelle que soit l’efficacité de votre stratégie de limitation des risques. Il est donc souhaitable de déployer vos technologies de sécurité par couches successives prenant en compte le réseau et les utilisateurs, mais également leurs applications, les données et les ressources de stockage. 3.Décrivez votre état de préparation face aux risques de violations et votre plan de réaction aux incidents Même les mesures de sécurité les plus efficaces peuvent faire l’objet d’attaques. Il est donc important de montrer au conseil que vous êtes prêt en présentant votre plan de réaction aux incidents et en indiquant notamment qui compose l’équipe de réaction, qui est habilité à l’activer et sous quelles conditions. Décrivez également votre plan de communication interne et externe et indiquez les éléments déclenchant la divulgation au public de l’incident de sécurité. Certains de ces éléments sont définis légalement, mais d’autres sont laissés à votre discrétion et les membres du conseil d’administration doivent vous indiquer le niveau de détail qu’ils souhaitent vous voir adopter. En cas de violation, informez rapidement le conseil sur ce qui s’est passé, indiquez-lui l’impact potentiel sur votre entreprise et sur vos clients, le temps qu’il vous faudra pour résoudre le problème et ce que vous comptez faire pour éviter qu’il se reproduise. Fournissez aux membres du conseil des comptes-rendus réguliers et établissez un calendrier précis afin qu’ils sachent quand aura lieu le prochain compte-rendu. 4.Utilisez des indicateurs significatifs pour mesurer le succès de vos actions La plupart des conseils d’administration souhaitent contrôler l’évolution de la sécurité d’une façon suivie. Un tableau de bord de sécurité leur fournira un accès rapide à l’information la plus pertinente. « Le tableau de bord permet la visualisation des risques et permet au conseil d’administration de contrôler la réduction des expositions critiques, » explique Stan Black. Utilisez des indicateurs simples à comprendre par le conseil d’administration et correspondant aux informations qu’ils attendent (menaces identifiées, temps de réponse, périphériques égarés, résultats d’audit, etc.). Mettez à jour vos indicateurs régulièrement, adaptez-les à l’évolution des menaces ciblant votre entreprise et informez le conseil de toute modification majeure apportée à votre architecture, vos technologies ou à votre stratégie. Animer une présentation devant le conseil d’administration peut être une expérience nouvelle pour certains membres de la direction informatique, mais ne doit jamais être perçu comme quelque chose de difficile. Avec l’aide des quelques conseils précédents, ces réunions peuvent constituer une opportunité d’engager avec votre direction générale un dialogue stratégique non seulement à propos de la sécurité, mais aussi à propos de la mobilité, du cloud computing et de l’évolution de l’espace de travail. n L’apport de Citrix La sécurité n’a jamais autant intéressé les conseils d’administration et la technologie joue un rôle crucial dans la mise en place d’une stratégie de sécurité efficace. Les technologies cloud Citrix garantissent la sécurité et la conformité des données d’entreprise stratégiques, tout en autonomisant les utilisateurs en leur permettant de travailler en tout lieu, à tout moment et sur tout périphérique. Citrix XenDesktop permet aux entreprises de publier des applications et des postes de travail Windows au sein du datacenter, là où la direction informatique peut assurer de façon centralisée la protection des données, la conformité, le contrôle d’accès et l’administration des utilisateurs. Citrix XenMobile fournit de riches fonctionnalités de gestion de la mobilité d’entreprise, notamment un provisioning et un contrôle des applications, des données et des périphériques basés sur l’identité. Citrix ShareFile permet aux utilisateurs de partager en toute sécurité des données avec n’importe qui et de synchroniser leurs données sur tous leurs périphériques. Citrix NetScaler ajoute un cadre de gestion unifié qui permet à l’équipe informatique de sécuriser, de contrôler et d’optimiser l’accès aux applications, aux postes de travail et aux services sur tout périphérique. Les solutions Citrix sont des systèmes « sécurisés par nature », soigneusement conçus pour limiter les vulnérabilités. Elles sont complétées par des produits de grande qualité proposés par des partenaires leaders sur le marché de la sécurité. Le résultat ? Une plateforme complète de protection des informations qui garantit aux conseils d’administration une sérénité durable en matière de sécurité. Pour en savoir plus, consultez www.citrix.fr/secure