● Kaspersky FR 📅 17/02/2026 à 11:22

Cybersécurité 👤 Stan Kaminsky

🏷️ Tags : ransomware phishing vulnérabilités cert réseau rte

Pour mettre en œuvre des programmes de cybersécurité efficaces et maintenir l’équipe de sécurité étroitement intégrée à tous les processus opérationnels, le RSSI doit régulièrement démontrer la pertinence de son travail à la direction générale. Pour cela, il faut parler le langage des affaires, mais un piège dangereux guette ceux qui s’y risquent. Les professionnels de la sécurité et les cadres supérieurs emploient souvent le même vocabulaire, mais pour désigner des choses totalement différentes. Certains termes similaires sont parfois utilisés de manière interchangeable. Par conséquent, la direction peut ne pas comprendre quelles menaces l’équipe de sécurité tente d’atténuer, quel est le niveau réel de cyberrésilience de l’entreprise, ni où le budget et les ressources sont alloués. Par conséquent, avant de faire des présentations élégantes ou de calculer le retour sur investissement des programmes de sécurité, il convient de préciser ces nuances terminologiques importantes. En clarifiant ces termes et en établissant un vocabulaire commun, le RSSI et le conseil d’administration peuvent considérablement améliorer la communication et, en fin de compte, renforcer la posture globale de l’organisation sur le plan de la sécurité. Pourquoi le vocabulaire lié à la cybersécurité est important pour la direction Les interprétations divergentes des termes ne sont pas seulement une source de désagréments – leurs conséquences peuvent être considérables. Un manque de clarté peut entraîner : Des investissements mal répartis. La direction pourrait approuver l’achat d’une solution confiance zéro sans se rendre compte qu’il ne s’agit que d’une composante d’un programme global à long terme dont le budget est nettement plus important. L’argent est dépensé, mais les résultats attendus par la direction ne sont jamais atteints. De même, en ce qui concerne la migration vers le cloud. La direction peut supposer que le passage au cloud transfère automatiquement l’ensemble des responsabilités de sécurité au fournisseur et, par conséquent, refuser le budget alloué à la sécurité du cloud. Une acceptation aveugle du risque. Les responsables des unités opérationnelles peuvent accepter les risques liés à la cybersécurité sans en comprendre pleinement l’impact potentiel. Un manque de gouvernance. Sans comprendre la terminologie, les dirigeants ne peuvent pas poser les bonnes questions (difficiles) ni répartir efficacement les responsabilités. Lorsqu’un incident se produit, les chefs d’entreprise ont souvent tendance à penser que la sécurité incombe entièrement au RSSI, alors que ce dernier n’a pas le pouvoir d’influencer les processus opérationnels. Cyberrisques et risques informatiques De nombreux dirigeants pensent que la cybersécurité est une question purement technique qu’ils peuvent confier au service informatique. Même si l’importance de la cybersécurité pour les entreprises est incontestable et que les cyberincidents figurent depuis longtemps parmi les principaux risques commerciaux, des sondages révèlent que de nombreuses organisations ne parviennent toujours pas à impliquer leurs dirigeants non techniques dans les discussions sur la cybersécurité. On a tendance à mêler les risques de sécurité de l’information aux enjeux informatiques, comme la disponibilité des systèmes et la continuité des services. En réalité, le cyberrisque est un risque stratégique lié à la continuité des activités, aux pertes financières et à l’atteinte à la réputation. Les risques informatiques sont généralement de nature opérationnelle et ont une incidence sur l’efficacité, la fiabilité et la gestion des coûts. La gestion des incidents informatiques est souvent entièrement prise en charge par le personnel informatique. Les incidents majeurs liés à la cybersécurité ont toutefois une portée beaucoup plus large. Ils nécessitent l’intervention de presque tous les services et ont des répercussions à long terme sur l’organisation à bien des égards, notamment du point de vue de la réputation, de la conformité réglementaire, des relations avec la clientèle et de la santé financière globale. Conformité et sécurité La cybersécurité est intégrée aux exigences réglementaires à tout niveau, depuis les directives internationales, telles que la NIS2 et le RGPD, jusqu’aux directives sectorielles transfrontalières, telles que la norme PCI DSS, en passant par les mandats ministériels spécifiques. En conséquence, la direction des entreprises considère souvent les mesures de cybersécurité comme des cases à cocher pour se conformer aux normes, estimant qu’une fois les exigences réglementaires satisfaites, les problèmes de cybersécurité peuvent être considérés comme résolus. Cette mentalité peut découler d’un effort conscient visant à minimiser les dépenses liées à la sécurité (« nous ne faisons pas plus que ce qui nous est demandé ») ou d’une incompréhension réelle (« nous avons passé avec succès l’audit ISO 27001, nous sommes donc à l’abri des piratages »). En réalité, la confo

🔗 Lire l'article original 👁️ 1 lecture