Que signifie le code de bonnes pratiques du gouvernement britannique en matière de cyber-gouvernance pour votre entreprise ?
Table des matières:
Il fut un temps où la cybersécurité était largement considérée comme une fonction technologique. Plus maintenant. Les gouvernements et les régulateurs du monde entier exigent de plus en plus que les conseils d’administration assument davantage de responsabilités dans la gestion des cyber-risques. C'est en neuf Les règles de la SEC introduit l'année dernière et dans le prochain Directive NIS2, ce qui rendra la haute direction personnellement responsable des manquements graves. Pour ne pas être en reste, le gouvernement britannique emboîte le pas en proposant un nouveau Code de pratique pour la cybergouvernance.
Bien qu'il soit volontaire, le gouvernement a déclaré son intention d'intégrer le code dans le « paysage réglementaire existant ». Les conseils d’administration feraient bien d’en prendre note.
Que contient le guide ?
Publié en janvier sous forme de projet, le code intervient dans un contexte décourageant de violations. Selon le acteurs du gouvernement européen, plus de la moitié des moyennes (59 %) et grandes (69 %) entreprises britanniques ont subi une grave cyberattaque ou violation au cours des 12 mois précédant avril 2023. La même étude révèle que, même si près des trois quarts (71 %) des cadres supérieurs déclarent considérer la cybersécurité comme une « priorité élevée », seules 30 % des entreprises ont des membres de conseil d'administration ou d'administrateurs explicitement responsables de la cybersécurité dans le cadre de leur rôle.
Ainsi, le code de bonnes pratiques est divisé en cinq piliers :
Gestion des risques: S'assurer que les processus, données et services numériques les plus critiques de l'entreprise ont été identifiés, hiérarchisés et convenus. Cela comprend des évaluations régulières des risques et des mesures d'atténuation, des décisions concernant les niveaux de risque et la gestion des risques des fournisseurs.
Cyberstratégie : Surveiller et examiner la stratégie de cyber-résilience en fonction de l'appétit pour le risque, de la stratégie commerciale et des obligations légales et réglementaires. Cela implique de veiller à ce que les ressources appropriées soient allouées en fonction des risques commerciaux en constante évolution.
Personnes: Parrainer des communications sur l'importance de la cyber-résilience pour l'entreprise, proposer des politiques de cybersécurité claires qui soutiennent une culture de sécurité positive, et diriger et participer à des programmes de formation en sécurité.
Planification et réponse aux incidents : S'assurer que l'organisation dispose d'un plan pour répondre et se remettre des cyberincidents ayant un impact sur les processus et services critiques pour l'entreprise. Cela comprend des tests réguliers du plan, des examens post-incident et la prise en charge des obligations réglementaires.
Assurance et surveillance : Établir une structure de gouvernance qui s'aligne sur l'organisation, y compris une définition claire des rôles et des responsabilités, et l'appropriation de la cyber-résilience au niveau des directeurs. Surveillance de la cyber-résilience par les régulateurs, établissement d'un dialogue bidirectionnel avec les principaux dirigeants et rapports trimestriels formels, et garantie que la stratégie de cyber-résilience est intégrée dans les mécanismes d'assurance existants.
Comment les organisations devraient-elles réagir ?
Darren Anstee, CTO chez Netscout, affirme que les conseils d'administration ont toujours eu du mal à planifier les incidents.
« L'orientation est que les tests du plan de gestion des incidents d'une organisation, ainsi que la formation associée, devraient avoir lieu au moins une fois par an. La plupart des organisations le font maintenant, et c'est bien mieux qu'il y a dix ans, mais le faire chaque année n'est pas assez fréquent », a-t-il déclaré à ISMS.online.
« Nous voulons que les tests améliorent la familiarité et l'optimisation des processus. Il ne s'agit pas uniquement de déterminer où le plan doit être mis à jour, car il ne correspond plus aux processus et à la technologie d'une organisation. C'est le risque lié aux tests annuels.
Anstee ajoute que les conseils d’administration pourraient également améliorer leur assurance et leur surveillance.
« Le défi ici n’est pas nouveau, dans la mesure où il peut être difficile de traduire ce qui se passe en termes de défense contre les menaces et de cyber-risques en quelque chose de significatif au niveau des risques commerciaux », affirme-t-il.
« Cela signifie généralement corréler plusieurs ensembles de données pour générer des mesures et des visualisations compréhensibles. Cela est possible et très important si nous voulons que les cyber-risques soient bien gérés, mais de nombreuses organisations ne disposent pas des ressources nécessaires pour bien le faire.
Kevin Curran, membre senior de l'IEEE et professeur de cybersécurité à l'université d'Ulster, affirme que les conseils d'administration ne parviennent souvent pas à gérer correctement les cyber-risques parce qu'ils manquent d'engagement, d'expertise et de concentration.
« Certains domaines dans lesquels les organisations échouent incluent l’incapacité de mener des évaluations approfondies des risques ou d’établir des stratégies de cybersécurité claires, ce qui les rend vulnérables aux menaces. D’autres domaines sont des investissements inadéquats, des politiques obsolètes, une mauvaise communication entre les départements et une approche centrée sur la conformité qui peuvent également nuire à la gouvernance de la cybersécurité », a-t-il déclaré à ISMS.online.
« En fin de compte, le code devrait aider les organisations à établir des cadres de gouvernance solides, à impliquer les dirigeants dans les décisions en matière de cybersécurité, à effectuer des évaluations régulières des risques, à allouer des ressources suffisantes, à favoriser une culture consciente de la cybersécurité et à améliorer continuellement leurs pratiques de gouvernance de la cybersécurité pour s'adapter à l'évolution des menaces. »
Prochaines étapes avec ISO 27001
Le respect des normes et cadres de bonnes pratiques tels que la norme ISO 27001, le cadre de cybersécurité du NIST, les contrôles CIS et COBIT pourrait aider les conseils d'administration à parcourir un long chemin pour atteindre leurs objectifs dans le cadre des cinq piliers, affirme Curran.
« La norme ISO 27001 propose une approche systématique pour identifier, évaluer et atténuer les risques de sécurité, en aidant à prioriser les actifs numériques et à intégrer la gestion des risques dans la gouvernance. Cela bénéficiera également à la stratégie de cybersécurité, car il aligne un système de gestion de la sécurité de l'information (ISMS) avec la stratégie commerciale, garantissant ainsi une allocation efficace des ressources pour la surveillance et l'examen de la stratégie de cybersécurité », explique-t-il.
« La norme ISO 27001 promeut la culture de sécurité à travers des politiques et des formations, renforçant ainsi les connaissances des employés en matière de cybersécurité, conformément à la stratégie de sécurité de l'organisation. Il encourage également la planification de la réponse aux incidents… et aide à définir les rôles, la surveillance, le reporting et la communication avec les cadres supérieurs, facilitant ainsi l’intégration de la cybersécurité dans les structures de gouvernance.
Bien que volontaire, le code jouera un rôle important dans l'évolution du paysage réglementaire, explique Sarah Pearce, associée chez Hunton Andrews Kurth.
« La loi sur les sociétés de 2006 et le code de gouvernance d'entreprise du Royaume-Uni contiennent certaines exigences et je comprends que ce code et les directives associées doivent être mis à jour pour garantir la cohérence avec le code de pratique [de cyber-gouvernance] proposé par le gouvernement », a-t-elle déclaré à ISMS.online.
« Le gouvernement a déclaré qu'il reconnaissait que le code « à lui seul n'est pas suffisant pour apporter les améliorations requises dans la gestion des cyber-risques au niveau du conseil d'administration ». Il étudie son utilisation pour aider les régulateurs à comprendre comment il pourrait être utilisé pour contribuer à la conformité réglementaire, notamment avec les réglementations britanniques GDPR et NIS.
