Points clés
- Une stratégie globale de sécurisation des systèmes articule les dimensions technique, organisationnelle, humaine et réglementaire dans un cadre cohérent
- Le NIST Cybersecurity Framework est le référentiel le plus adopté pour structurer cette stratégie : Identifier, Protéger, Détecter, Répondre, Récupérer
- La stratégie de sécurité doit être alignée sur la stratégie métier — pas développée en parallèle par les équipes IT seules
- La direction générale valide la stratégie, alloue les ressources et reçoit les reportings d'avancement selon des indicateurs définis
Structurer une stratégie globale de sécurisation des systèmes d'information, c'est passer d'une approche réactive (répondre aux incidents et aux obligations réglementaires au fur et à mesure) à une approche proactive (définir les objectifs de sécurité, les ressources nécessaires pour les atteindre, et les indicateurs permettant de mesurer les progrès). Cette transition est une décision de gouvernance avant d'être une décision technique.
Les organisations qui disposent d'une stratégie de sécurité formalisée et alignée sur leur stratégie métier dépensent en moyenne moins en sécurité que celles qui fonctionnent en réaction — parce que leurs investissements sont priorisés et ciblés plutôt que dispersés sur des outils qui ne s'intègrent pas. Gartner estime que les organisations dotées d'une stratégie formalisée réduisent leurs coûts de sécurité de 15 à 25 % par rapport aux organisations sans stratégie.
Les composantes d'une stratégie globale
Une stratégie globale de sécurisation comporte six composantes : l'évaluation de la posture actuelle (où en sommes-nous ?), la définition de l'appétit au risque (quel niveau d'exposition sommes-nous prêts à accepter ?), la définition des objectifs de sécurité (où voulons-nous aller ?), la feuille de route de transformation (comment y aller ?), l'allocation des ressources (avec quels moyens ?), et les indicateurs de pilotage (comment savons-nous que nous progressons ?).
Ces composantes sont interdépendantes. L'appétit au risque, décidé par la direction générale et le conseil d'administration, détermine les objectifs. Les objectifs déterminent la feuille de route. La feuille de route détermine les ressources nécessaires. Et les indicateurs permettent de vérifier que les ressources allouées produisent les résultats attendus.
L'alignement sur la stratégie métier
La stratégie de sécurité la plus solide est celle qui est développée en référence explicite aux objectifs métiers de l'organisation. Si l'organisation prévoit une expansion internationale, la stratégie de sécurité doit anticiper les implications (nouvelles réglementations, nouveaux vecteurs d'exposition, nouvelles dépendances techniques). Si l'organisation prévoit une transformation numérique majeure, la stratégie de sécurité doit définir comment la sécurité sera intégrée dans cette transformation.
La Banque Centrale Européenne a publié en 2023 un guide sur la gouvernance du risque cyber pour les institutions financières qui recommande explicitement que la stratégie cyber soit présentée aux instances de gouvernance comme partie intégrante de la stratégie d'entreprise, avec les mêmes horizons temporels et les mêmes niveaux de validation.
Le rôle de la direction dans la stratégie de sécurité
La direction générale et le conseil d'administration ont trois rôles spécifiques dans la stratégie de sécurité : valider l'appétit au risque (décision stratégique qui appartient au niveau le plus élevé de gouvernance), allouer les ressources suffisantes pour atteindre les objectifs définis (décision budgétaire), et recevoir des reportings réguliers sur les progrès réalisés et les risques résiduels (décision de suivi). Ces rôles ne peuvent pas être délégués aux équipes techniques.
Le rôle croissant de la sécurité dans les discussions stratégiques est reconnu par les régulateurs mondiaux : la SEC américaine impose depuis 2023 que les grandes entreprises cotées divulguent leurs procédures de gouvernance du risque cyber dans leurs rapports annuels, incluant le rôle spécifique du conseil d'administration dans ces décisions.
Suite à la compromission de 2014 (76 millions de foyers affectés), JPMorgan Chase a engagé une transformation radicale de sa stratégie de sécurité. L'investissement annuel en cybersécurité est passé à 600 millions de dollars, avec une équipe dédiée de plus de 3 000 personnes. La stratégie est présentée annuellement aux actionnaires dans le rapport annuel du PDG Jamie Dimon. JPMorgan Chase publie régulièrement ses principes de sécurité, devenant une référence de l'industrie pour l'alignement entre stratégie cyber et gouvernance d'entreprise.
Airbus a développé une stratégie globale de sécurisation articulant la protection de sa propriété intellectuelle (plans d'avions, technologies de défense) et la conformité aux exigences de ses clients gouvernementaux (classification OTAN, réglementations nationales). La stratégie comprend un Security Operations Centre dédié, des programmes de Security by Design pour tous les nouveaux développements, et des exigences de sécurité contractuelles pour l'ensemble de la chaîne de sous-traitants. Airbus a été victime de plusieurs tentatives d'espionnage industriel documentées, qui ont validé la pertinence de cette stratégie de protection renforcée.
Singtel, l'opérateur télécoms national singapourien, a développé une stratégie de sécurité globale qui couvre à la fois la protection de son infrastructure critique et le développement d'une offre de services de cybersécurité pour ses clients entreprises. La stratégie est présentée dans les rapports annuels avec des indicateurs mesurables. Elle a permis à Singtel de transformer une contrainte réglementaire (obligations de sécurité pour les opérateurs d'infrastructures critiques) en avantage concurrentiel (crédibilité sécurité auprès des clients entreprises qui lui confient leurs propres infrastructures).