Cybersécurité : quels informations et indicateurs indispensables présenter au Comex et au Conseil d’administration ? Le Cigref propose aux DSI un guide pour élaborer un tableau de bord pratique et complet.
Le réseau de grandes entreprises et administrations publiques françaises axé sur le numérique met à disposition des DSI un guide pratique qui leur permet d’identifier les risques, de les qualifier et de les valoriser à l’aide d’indicateurs pertinents, afin de présenter un rapport complet aux dirigeants. « En l’adaptant aux spécificités de son entreprise ou administration publique, le DSI, ou le manager responsable de la gouvernance cyber, a les éléments pour construire un rapport qui présente de manière extrêmement synthétique et accessible à des non spécialistes le bon niveau d’information aux décideurs, indique le Cigref. Cela repose sur l’équilibre entre des données d’actualité, des informations qualitatives, des analyses de risques consolidées, des éléments de coûts et des indicateurs quantitatifs agrégés« ,
Selon le Cigref, le contenu de ce rapport doit comporter systématiquement les rubriques suivantes :
- Description succincte des activités les plus exposées et chiffres clés du système d’information (SI)
- Niveau d’ouverture du SI à l’externe et aperçu de son exposition
- Etat de la menace et éléments d’actualité
- Points essentiels de vulnérabilité de l’entreprise
- Synthèse de l’analyse globale des risques de sécurité informatique et éléments sur les analyses de risques par secteur de l’entreprise
- Points clés opérationnels
- Plans d’action en cours et à venir
