HomeAboutSpeakingBlog
TELL ME
November 24, 2020

CEO : vos 14 questions cybersécurité au CISO.

Votre temps est compté. Il n'est pas question de vous faire resservir la même soupe que celle présentée à des niveaux moins stratégiques. Face à l'éventualité de vous retrouver face à un slideware bien pensant ou à une démo "magique", voici 14 questions proposées pour dialoguer autour de 5 thèmes clés de la cybersécurité de votre groupe :

  1. Appréciation des risques cyber
  2. Finance de la cyber
  3. Gouvernance cyber
  4. People et organisation cyber
  5. Transformation cyber

Attention, l'idée n'est pas de mettre en difficulté ou de sanctionner mais de solliciter au bon niveau et d'orienter : faciliter l'exécution et l'alignement sur les sujets cybersécurité, du plus stratégique au plus opérationnel. Exceptionnellement, ne pas être centré "technique" ou encore moins "technophile".

Si le temps vous manque, vous pouvez vous limiter aux premiers thèmes.

Nota : par abus de langage, nous utilisons cyber pour dire cybersécurité.

I. APPRECIATION DES RISQUES CYBER

Quels sont les 5 top risks cyber qui nécessitent une décision ou soutien de ma part pour réellement passer sous maîtrise ? Quelles décisions sont requises ? #CyberKeyDecisions

Comment se fait-il que les risques cyber aient été identifiés et appréciés sans la participation active et directe des membres du Comex ? (si tel est le cas) #CyberNoBlackBox

Comment vous assurez-vous que les risques cyber ne soient pas considérés dans leur propre "silo" mais en relation avec les autres risques ? (tels que risques opérationnels, de non-conformité, continuité, stratégiques, risques de malveillance, risques de crédit...) #CyberWithinERM #CyberWithERM

II. FINANCE DE LA CYBER

  • Quel est-le budget cybersécurité actuel et ses projections à 3 ans ? Que recouvre-t-il ? Quelles sont ses limites ? #CyberIsNoMagic
  • Comment garantissez-vous que les initiatives, budgets investissement et fonctionnement cybersécurité contribuent directement ou indirectement à mettre sous contrôle le top 15 des risques cyber ? #CyberROI

Quelle est la procédure qui garanti que la cybersécurité soit bien prise en compte en amont de nos décisions stratégiques et investissements ? Est ce-suffisant ? Que recommandez-vous ? #CyberComex

III. GOUVERNANCE CYBER

Comment vous assurez-vous que la cybersécurité soit alignée sur les priorités non IT (business, compliance, legal...) avant les priorités IT ? #CyberOversight

Quelle est la procédure qui garanti que notre Comex soit informé à temps en cas de crise cyber supposée ou avérée ? Fonctionne-t-elle ? #CyberCrisisManagement

Quels sont les points de contrôle cybersécurité que ma direction de l’audit interne (ou inspection) devrait vérifier : 1/ systématiquement lors des audits généraux des entités ? 2/ ponctuellement lors d’audits ad-hoc ? 3/ A l’issue d’incidents majeurs ou de crises ayant une composante cyber majeure ou mineure ? #CyberControl

IV. PEOPLE ET ORGANISATION CYBER

Quelles sont les compétences cybersécurité indispensables #CyberSkills

  • à tout salarié ?
  • à tout manager et directeur ?
  • à tout membre du Comex ?

Quelles activités courantes faisons nous pour ne pas nous reposer sur nos lauriers, pour garantir une vigilance de tous à chaque instant ? Sont elles suffisantes ? #CyberExercising

Que devons nous changer dans notre organisation et dans notre culture pour devenir une « High Resilient Organization » (HRO) en terme de cybersecurité ? Quels sont les points d'appui de notre culture et de notre organisation ? #CyberHRO

V. TRANSFORMATION CYBER

Sommes-nous en mesure d'utiliser les évolutions réglementaires (telles que les directives GDPR, NIS ou la LPM) comme des leviers de transformation plutôt que comme autant de contraintes supplémentaires ? #CyberComplianceOrContribution

De votre point de vue d’expert - et indépendamment des contraintes financières - que faudrait-il faire pour éradiquer les risques cyber dans notre groupe ? A minima, pour avoir une avance significative et être considéré "best in class" sur notre marché ? #CyberBestInClass

Quelle serait la prochaine étape indispensable à mener pour notre Groupe ? #CyberNextAction

VOTRE FEEDBACK

Merci aux premiers lecteurs de cet article et aux premiers likes !

Questions Utiles ? Souhaitables ? Indispensables ? Décalé(es) par rapport à vos problématiques ?... Votre feedback est bienvenu !

Related Posts

NEWSLETTER

Weekly Cyber Inspiration

Stay ahead of what cyber trends are coming next before it knocks on your office door.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.