Pourquoi la cybersécurité devrait être une priorité au niveau du conseil d'administration de chaque entreprise – Point de vue de Serhii Mikhalap

Grâce au monde interconnecté d'aujourd'hui, la cybersécurité n'est plus une simple considération technique. C'est un impératif pour les conseils d'administration. Face à la sophistication croissante des menaces en ligne et à l'augmentation du coût des failles, les entreprises prennent conscience de la nécessité d'intégrer la sécurité numérique à leur gouvernance. Mais que signifie pour elles cette priorité, et pourquoi tant d'entreprises sont-elles encore à la traîne ?

Serhii Mikhalap, expert en cybersécurité, estime que la réponse réside dans l'état d'esprit. Fort de plus de neuf ans d'expérience en première ligne, notamment à la tête d'opérations nationales de cyberdéfense et à la cofondation d'une start-up spécialisée dans la cybersécurité, Mikhalap a pu constater de visu les conséquences d'une cybersécurité considérée comme une simple case à cocher plutôt que comme un pilier stratégique.

Mikhalap a débuté sa carrière en 2016 comme analyste au Centre national des opérations de sécurité (SOC) ukrainien. Chargé de répondre aux menaces persistantes avancées (APT) contre les infrastructures gouvernementales et privées, il a développé une compréhension fine du comportement des acteurs de la menace.

« Nous ne nous contentions pas d'identifier les logiciels malveillants », se souvient Mikhalap. « Nous en recherchions les motivations, en cartographiant les objectifs à long terme des adversaires et leur mode d'infiltration dans les chaînes d'approvisionnement. »

En 2020, il a rejoint le secteur commercial, travaillant d'abord comme intervenant en cas d'incident, puis à la tête d'équipes SOC chez un fournisseur mondial de cybersécurité. Son travail consistait à créer deux SOC de A à Z, intégrant l'automatisation, le tri des stratégies et la surveillance 24h/24 et 7j/7. Parmi ses clients figuraient des entreprises de technologie financière et de paiement soumises à une surveillance réglementaire stricte.

En 2024, Mikhalap a cofondé une start-up de sécurité en tant que service (SAA) destinée aux start-ups et PME des secteurs de la cryptographie, de la banque et des technologies transactionnelles. Son équipe propose des tests d'intrusion, des analyses DFIR (investigation numérique et réponse aux incidents), des évaluations des risques et des audits de sécurité.

« La cybersécurité ne se résume pas à la prévention. C'est une question de réponse, de rétablissement et de confiance. Et cette confiance commence par le leadership », explique-t-il.

L'impact de Mikhalap n'est pas passé inaperçu. En 2022, il a reçu le label national ukrainien « Znak Yakosti » (Signe de qualité) pour son professionnalisme exceptionnel en cybersécurité. Le comité de sélection a souligné son travail en matière de réponse aux incidents, de planification stratégique de la défense, de formation des utilisateurs et d'investigation numérique.

En 2023, il a été nommé lauréat du « Prix de la haute réputation » national, récompensant son engagement en faveur de pratiques commerciales éthiques, de responsabilité et de qualité. Ces distinctions soulignent sa crédibilité en tant que leader alliant rigueur technique et intégrité.

Selon Mikhalap, inscrire la cybersécurité à l'ordre du jour du conseil d'administration n'est pas une option ; c'est essentiel. « Les conseils d'administration supervisent les risques stratégiques. Et en 2025, le cyberrisque est un risque stratégique », affirme-t-il.

Pourtant, de nombreux conseils d'administration manquent de l'expertise nécessaire pour comprendre les vulnérabilités techniques, et encore moins pour aligner la sécurité sur les objectifs commerciaux. Cela crée un fossé dangereux.

« Le manque de connaissances en cybersécurité au plus haut niveau entraîne des budgets mal alloués, des plans d'intervention mal préparés et une dépendance excessive aux fournisseurs », prévient-il. « La cybersécurité doit être traitée comme la finance ou le droit, un domaine doté de ses propres indicateurs, de son propre langage et de ses propres responsabilités. »

Il préconise des réunions d'information régulières au niveau du conseil d'administration, animées par les RSSI ou des experts externes, en mettant l'accent sur :

• Obligations de conformité
• Préparation à la réponse aux incidents
• Priorités d'investissement pour la résilience
• Paysage actuel des menaces et tendances
• Les actifs critiques de l'entreprise et leur exposition

Mikhalap estime qu’en considérant la cybersécurité en termes de continuité des activités et de risque de réputation, les conseils d’administration peuvent mieux comprendre sa valeur.

Un thème récurrent dans le travail de Mikhalap est le coût caché de l'inaction. « Une violation ne coûte pas seulement de l'argent. Elle érode la confiance. Elle révèle une négligence. Elle peut faire échouer une introduction en bourse ou une opération de fusion-acquisition. »

Dans les secteurs réglementés, les conséquences sont encore plus graves. Amendes, poursuites judiciaires et interdictions réglementaires sont autant d'enjeux. « Mais le problème le plus important réside dans le désavantage concurrentiel. Si vos concurrents investissent dans la résilience et que vous ne le faites pas, vous rattrapez votre retard une fois le mal fait. »

Mikhalap souligne que l'implication du conseil d'administration doit aller de pair avec un changement culturel. La sécurité ne peut réussir seule.

« Nous devons briser le mythe selon lequel la cybersécurité est l'affaire de l'informatique. C'est la responsabilité de tous. Des RH aux équipes financières en passant par les équipes produit, chaque fonction doit comprendre son rôle dans la gestion des cyberrisques. »

Pour ce faire, son entreprise propose des modules de formation personnalisés qui harmonisent les pratiques de sécurité avec les fonctions. Ils aident également les entreprises à simuler des attaques pour tester la prise de décision des dirigeants sous pression.

« Lorsque les dirigeants sont confrontés à un scénario de violation simulé, ils comprennent les enjeux. Ils réalisent qu'il ne s'agit pas seulement de pare-feu. Il s'agit d'atteinte à la réputation, d'exposition aux risques juridiques et de survie de l'entreprise. »

Mikhalap met en évidence quelques pratiques adoptées par les conseils d’administration avant-gardistes :

• Le cyber-risque dans le cadre de la gestion des risques d’entreprise (GRE) : intégration de la sécurité dans des tableaux de bord de risques plus larges.
• Formation du conseil d’administration : organisation d’ateliers ou de séances d’intégration pour les nouveaux membres.
• Évaluations indépendantes : embauche d’experts tiers pour effectuer des examens de maturité.
• Planification de scénarios : Exécution d’exercices sur table pour les équipes de direction et les directeurs.
• Alignement budgétaire : garantir que les investissements en matière de sécurité correspondent à l'empreinte numérique de l'entreprise et à son exposition aux menaces.

Il souligne que les conseils d'administration n'ont pas besoin de devenir des experts en cybersécurité. Mais ils doivent poser les bonnes questions et s'attendre à des réponses claires et concrètes.

À l'horizon 2025 et au-delà, Mikhalap estime qu'il est de plus en plus urgent pour les entreprises d'intégrer leur stratégie cybernétique à leur planification à long terme. Face à l'ampleur et à la complexité croissantes des rançongiciels, des attaques basées sur l'IA et des failles de sécurité dans les chaînes d'approvisionnement, il affirme que les priorités des conseils d'administration doivent évoluer en conséquence.

« La cybersécurité ne se résume plus à défendre le périmètre du réseau. Il s'agit de gérer les risques numériques à l'échelle de l'entreprise. C'est une question de résilience. Et cela commence par une direction qui comprend les véritables enjeux. »

Pour Serhii Mikhalap, le message est simple : la cybersécurité a sa place au sein du conseil d'administration. Pas seulement en cas de crise, mais dans le cadre de la surveillance de routine.

« Si vous n'abordez pas la cybersécurité au sein du conseil d'administration, vous exposez votre organisation à des risques techniques et à une atteinte à sa réputation », explique-t-il. « La cybersécurité est désormais un levier d'activité. Les conseils d'administration qui maîtrisent ce sujet dirigeront avec confiance. Ceux qui ne le font pas seront laissés pour compte. »

(Image de Cliff Hang de Pixabay)