Vers la mise en place de comites cybersécurité au sein des conseils d’administration des banques tunisiennes
Par Adlen Loukil- Les nombreuses attaques cybernétiques durant les dernières années ont mis en lumière l’importance croissante de la Cybersécurité. Les préjudices financiers des activités cybercriminelles sont considérables. La sophistication des attaques externes et internes, devenues extrêmes, contribuent à rendre difficile et périlleuse la maîtrise du risque de cybercriminalité. Les gouvernements et régulateurs de par le monde prennent conscience de l’importance croissante de la cybersécurité, non seulement pour les institutions publiques et militaires, mais aussi pour les entreprises du secteur privé.
Outre les données numériques, les cyberattaques peuvent menacer tous les biens valorisables de l’entreprise. Une cyberattaque peut affecter:
• les bases de données et les actifs financiers;
• le vol et l’extorsion de données à caractère personnel;
• la propriété intellectuelle et les secrets commerciaux – par l’espionnage;
• la marque et sa présence sur Internet – notamment par l’atteinte à l’image;
• la continuité d’exploitation - par le sabotage ou la perturbation des opérations.
Les banques et les grandes entreprises tunisiennes doivent engager des actions fortes de protection de leurs données, afin de les préserver du vol, de la corruption ou du sabotage.La défense des systèmes d’information contre toutes les formes de violation devient un enjeu majeur des stratégies des grandes entreprises.
Quel rôle pour le Comité Cybersécurité?
Le rôle principal de ce Comité est de répondre notamment aux questions suivantes :
• Quels sont les principaux actifs informationnels «critiques» à protéger ?
• Quels sont les mécanismes de Cyber défense actuels ?
• Quelles mesures sont en place pour la surveillance continue de l’espace cybernétique ?
• Qui est responsable de leur protection ?
• L’organisation compte-t-elle dans ses rangs du personnel formé et expérimenté en matière de prévention des cyberrisques ?
• Les ressources allouées à la cybersécurité (budget, RH) sont-elles suffisantes ?
• Comment l’organisation réagirait-elle face à un incident majeur ?
Le Conseil d’administration définit son approche de supervision du dispositif de gestion de la Cybersécurité et confie le cas échéant la mission de suivi à ce nouveau Comité Cybersécurité qui communiquera les résultats de ses travaux lors d’une séance du conseil.
Le thème de la Cybersécurité doit être mis à l’ordre du jour des réunions du Conseil au moins une fois par an.
Le Conseil d’administration et/ou le Comité désigné s’assurent que la Banque a procédé à l’identification des informations critiques et des actifs stratégiques qu’elle souhaite protéger en priorité s’agissant de données financières, de données commerciales, de données opérationnelles, de données sur le personnel, ou encore de propriété intellectuelle.
Le Conseil d’administration et/ou le Comité désigné s’assurent que les programmes de formation de la Banque intègrent les nouvelles sources de vulnérabilité à la cybercriminalité.
Le Conseil d’administration et/ou le Comité désigné s’informent de l’organisation et des ressources allouées au dispositif, y compris l’existence d’un Responsable de la Sécurité des Systèmes d’Information qualifié et compétent.
Le Conseil d’administration et/ou le Comité désigné obtiennent du management une présentation du dispositif de prévention et de détection, y compris la gestion des conséquences d’une attaque cyber.
Le Conseil d’administration et/ou le Comité désigné examinent le déploiement du dispositif de lutte contre les Cyberattaques au sein de la Banque - Cellule de gestion de crise, Plan de secours informatique, etc.
Le Conseil d’administration et/ou le Comité désigné s’assurent de l’élaboration d’un processus de vérification du fonctionnement du dispositif de Cybersecurité, y compris, le cas échéant, un audit réglementaire de la sécurité informatique (décret 1249-2004 du 25 mai 2004).
Le Conseil d’administration et/ou le Comité désigné examinent le processus de remontée des cas d’attaques cybercriminelles au sein de la Banque.
Le Conseil d’administration et/ou le Comité désigné examinent les résultats des tests techniques réalisés par le management.
Le Conseil d’administration et/ou le Comité désigné s’assurent de la mise en œuvre d’un programme d’amélioration permanente, afin de s’adapter à l’évolution des modalités d’attaques cybercriminelles.
Dr. Ing. Adlen Loukil
Universitaire
Expert international en sécurité de l’information