6 questions que chaque membre d’un conseil d’administration doit poser à son CISO

Pour aider à assurer la sécurité et la compétitivité de son organisation, le conseil d’administration (CA) doit renforcer la sensibilisation et la préparation à la cybersécurité. Si vous êtes membre du conseil d’administration, pensez à faire appel à votre responsable de la sécurité des systèmes d’information (CISO) pour vous aider à adopter un état d’esprit axé sur la sécurité et à rester informé des menaces émergentes et des tendances en matière de cybersécurité. Commencez la discussion en posant ces six questions clés à votre CISO.  

Qui est responsable de la sécurité ?

Avoir une culture de propriété qui donne la priorité à la sécurité peut jouer un rôle majeur dans la réduction des cyber risques de l’organisation. Demandez-vous s’il est clair pour l’ensemble de l’organisation que la sécurité est un impératif commercial. Existe-t-il un sentiment de propriété envers la sécurité chez chaque employé, quel que soit son rôle ? Le leadership renforce-t-il une culture de sécurité en prenant des décisions motivées par la sécurité ?

À quelles menaces l’organisation est-elle confrontée ?

En tant que membre du conseil d’administration, êtes-vous conscient des menaces de cybersécurité actuelles et savez-vous comment l’entreprise s’est préparée à s’en défendre ? Si ce n’est pas le cas, il est peut-être temps de vous rapprocher de votre CISO. Si ce n’est pas déjà fait, demandez au CISO d’informer régulièrement le conseil d’administration des priorités de l’organisation en matière de cybersécurité. Le CISO doit être prêt à discuter de ces priorités en termes commerciaux qui mettent l’accent sur les risques, la résilience et la réputation de l’organisation plutôt que sur les détails techniques.

Qui a accès aux données de l’entreprise ?

Les données constituent la ressource la plus précieuse de l’organisation. Si elles ne sont pas protégées de manière adéquate à tout moment et en tout lieu, les clients et les employés pourraient être mis en danger. C’est pourquoi il est essentiel pour l’entreprise de surveiller et de gérer les autorisations d’accès, afin de s’assurer que les employés ne peuvent accéder qu’aux données essentielles à leur rôle. La gestion des accès réduit le nombre de personnes susceptibles d’exposer des données sensibles, tandis que la surveillance des accès permet à l’organisation de sécurité de détecter les expositions de données plus rapidement et avec plus de précision.

Quelles sont les ressources les plus précieuses de l’organisation ?

La gestion des accès au moindre privilège dépend entièrement de la manière dont l’organisation classe ses données. L’entreprise doit évaluer régulièrement ses ressources afin de s’assurer que les données les plus sensibles sont correctement classées et limitées aux seules personnes bénéficiant des autorisations de sécurité les plus élevées.

Quels sont les niveaux de protection mis en place par l’entreprise ?

Pour être efficace, la sécurité doit être un programme à multiples facettes comportant de nombreux niveaux de protection. Réfléchissez à la manière dont l’organisation sécurise son infrastructure, ses données, ses applications, ses e-mails, ses bâtiments physiques et ses centres de données, et même ses modèles de développement et de formation en matière d’IA. Tous ces éléments sont des couches de sécurité qui peuvent renforcer la résilience de l’entreprise si ils sont bien protégés ou la compromettre s’ils sont mal protégés.

L’organisation est-elle prête à répondre à un événement de cybersécurité ?

Des tests réguliers de réponse aux incidents sont essentiels pour s’assurer que chacun sait comment réagir en cas d’événement réel. Votre organisation sera-t-elle prête à affronter la réalité ? Des plans de réponse aux incidents sont-ils déjà en place ou doivent-ils être élaborés ? Les employés ont-ils suffisamment mis en pratique le plan de réponse aux incidents ? Quel est le rôle du conseil d’administration dans ces plans ?

La sécurité commence par le haut

Les conseils d’administration qui interagissent régulièrement avec leur CISO comprennent mieux les risques et les domaines où il est nécessaire d’investir dans la sécurité, ce qui permet à l’entreprise d’agir en toute confiance et de réaliser de la valeur plus rapidement. Mais tous les CISO ne savent pas comment communiquer efficacement avec le conseil d’administration. Téléchargez le PDF de cette ressource pour vous aider à aborder votre prochaine conversation avec le CISO.

Passer à l’étape suivante

Découvrez les nouvelles recherches sur la sécurité de l’IA générative

Une enquête menée auprès de 200 dirigeants a révélé que seuls 24 % des projets d’IA générative sont sécurisés. Découvrez pourquoi dans ce rapport de recherche réalisé par IBM et AWS.

En savoir plus sur l’évolution du rôle du CISO

Découvrez le témoignage de Chris Betz,CISO chez AWS, qui explique comment les CISO accèdent à des postes de direction d’entreprise alors que la cybersécurité est devenue une priorité stratégique majeure pour la plupart des organisations.

Découvrez de nouvelles informations sur la sécurité des données

Consultez d’autres leaders d’opinion et ressources pour les responsables des données et de la sécurité sur Executive Insights.

 

Demander un rendez-vous

Vous avez besoin d'aide pour élaborer ou étendre votre stratégie Zero Trust ? Prenez rendez-vous avec un expert en sécurité d'AWS dans l'un de nos Executive Briefing Centers.