Skip to main content

Mise en pratique des principes de cyberrésilience

Objectifs de formation 

Une fois cette unité terminée, vous pourrez :

  • Décrire comment concevoir une stratégie d’intégration pour permettre l’adoption de nouvelles cyberpolitiques et de nouveaux principes connexes
  • Expliquer comment trouver du soutien et des alliés pour faire de la cyberrésilience une priorité
  • Lister les actions permettant de présenter la cyberrésilience comme étant une opportunité commerciale précieuse pour votre organisation
  • Identifier la façon d’élaborer un plan et de constituer une équipe pour permettre l’adoption efficace des principes de cyberrésilience
  • Décrire comment déployer les principes de cyberrésilience ainsi que comment surveiller et étendre la cyberrésilience dans toute votre organisation

Mise en œuvre des principes

Pour mettre en œuvre les principes de cyberrésilience du Forum économique mondial (FEM) pour le secteur du pétrole et du gaz et en tirer pleinement parti, la cyberrésilience ne doit pas passer au second plan, mais plutôt être une composante à part entière de la culture de l’organisation et de tous aspects des normes de l’entreprise. Afin de changer les mentalités d’entreprise les plus profondément ancrées, les responsables peuvent adopter une approche progressive pour introduire les bonnes pratiques relatives à la cyberrésilience au sein des organisations pétrolières et gazières. Voici les étapes de cette approche :

  • Conception de la stratégie d’intégration
  • Obtention de soutien et acquisition d’alliés
  • Présentation d’un argumentaire
  • Élaboration d’un plan et constitution d’une équipe
  • Mise en œuvre du déploiement
  • Surveillance et développement

Sydney occupe un poste de responsable de la sécurité de l’information dans une entreprise publique spécialisée dans le pétrole et le gaz naturel. Observons comment elle procède pour mettre en pratique les principes de cyberrésilience applicables à son secteur d’activité. 

Illustration représentant Sydney se tenant devant les installations d’une entreprise spécialisée dans le pétrole et le gaz naturel.

Conception de la stratégie d’intégration

Sydney sait à quel point il est important de définir une stratégie efficace qui permettra l’adoption de nouvelles cyberpolitiques et de nouveaux principes connexes et les intégrera efficacement aux activités de son entreprise. Elle commence par définir une méthodologie d’exécution articulée autour de quatre grands piliers de son organisation, à savoir la posture de risque, la culture interne, le modèle organisationnel et la stratégie d’entreprise. Elle évalue la maturité interne et la posture de risque de son organisation pour hiérarchiser avec précision ses cyberactions.

De plus, Sydney aligne les principes de cyberrésilience sur la stratégie, la vision et la mission de l’entreprise, puis les intègre à celles-ci en déterminant comment la cybersécurité peut appuyer et renforcer l’action de chacune des unités commerciales dans leur domaine d’expertise. Elle prend en considération le modèle opérationnel ainsi que la structure de son organisation et vérifie quels acteurs clés doivent être impliqués pour faire en sorte que l’adoption soit rapide et réussie. Elle sélectionne une stratégie de modèle d’exécution qui s’intègre bien dans la culture interne de son organisation pour assurer l’adoption et la mise en œuvre efficaces des principes de cyberrésilience.

Obtention de soutien et acquisition d’alliés

Ensuite, pour obtenir le soutien interne des responsables de niveau intermédiaire et des cadres supérieurs, Sydney leur présente les cyberrisques auxquels leurs unités commerciales sont exposées tout en précisant bien que le conseil d’administration s’est fixé pour objectif de faire de la cyberrésilience une priorité. Elle décrit quelles sont les attentes et les exigences spécifiques auxquelles il est nécessaire de répondre pour appuyer l’objectif du conseil d’administration, qui consiste notamment à s’assurer le soutien des principales parties prenantes. Pour ce faire, elle présente l’intérêt qu’il y a à suivre les principes de la cyberrésilience dans des situations particulières. Elle obtient le soutien des cadres supérieurs en argumentant en faveur de la cyberrésilience auprès des membres du conseil d’administration et en leur expliquant son importance.

Par ailleurs, Sydney identifie parmi plusieurs parties prenantes de l’organisation des alliés clés qui sont essentiels à la mise en œuvre des principes de cyberrésilience (par exemple, le responsable des risques et les membres de l’équipe d’audit de l’organisation). Elle fait adhérer les principaux chefs de service au plan stratégique qu’elle élabore en leur démontrant sa pertinence et ses avantages pour leurs activités respectives. Elle fournit également des ressources et un soutien financier à des projets pilotes ou phares grâce à des fonds dédiés à la cybersécurité, en allouant des budgets opérationnels à des mesures de cyberrésilience spécifiques.

En outre, Sydney intègre les principes de cyberrésilience aux processus de gouvernance existants pour simplifier et accélérer leur adoption (par exemple, en tirant parti de la culture de sécurité de son organisation et d’autres pratiques déjà bien en place).

Présentation d’un argumentaire

Ensuite, pour conserver le soutien et maintenir l’engagement des cadres supérieurs, Sydney décrit la cyberrésilience comme une opportunité commerciale porteuse de valeur pour l’organisation. Elle met en relation les nouvelles cyberpolitiques avec la vision, la mission et les objectifs stratégiques de sa société. Elle communique sur la complexité et l’urgence de la mise en œuvre en présentant les risques auxquels l’organisation et les unités commerciales sont confrontées.

De plus, Sydney travaille en collaboration avec des alliés internes pour formuler des propositions collectives et globales lorsqu’elle communique avec le conseil d’administration et lui rend compte de la progression des initiatives. Elle lui présente à nouveau les avantages de la cyberrésilience en rendant compte de sa valeur commerciale grâce à des exemples pratiques lui permettant de quantifier et qualifier les risques et les retombées positives pour l’organisation. Elle fixe également des objectifs précis en clarifiant quels sont les points de mesure des performances ainsi que les indicateurs de performance clés opportuns. En parallèle, elle définit une cadence régulière pour la création de rapports (de mensuelle à semestrielle).

En outre, Sydney souligne devant le conseil d’administration la valeur et les avantages de la cyberrésilience à long terme en exposant à nouveau la pertinence des principes associés. 

Élaboration d’un plan et constitution d’une équipe

Ensuite, pour permettre l’adoption et la mise en œuvre efficaces des principes de cyberrésilience, Sydney élabore une feuille de route comportant des actions claires, des jalons précis et des indicateurs de performance clés concrets, accompagnés de mécanismes qui permettent la mise en place de changements futurs. Elle constitue une équipe transversale chargée de gérer une feuille de route de mise en œuvre en fonction de la complexité et de la culture de son organisation ainsi que des objectifs des membres du conseil d’administration. Elle adapte et valide le plan (si nécessaire) en définissant quels sont les principaux livrables et points de mesure, sans oublier d’établir un plan précis de création de rapports et de communication de métriques.

Sydney définit également le modèle d’exécution en tenant compte du processus interne de gestion du changement, de l’ingénierie des processus métier et de la méthode d’exécution (qui peut, par exemple, consister à tirer parti de la méthodologie agile et de la planification d’activité annuelle de l’organisation). Elle s’assure que les membres de l’équipe comprennent la valeur de ces principes et font la promotion de la feuille de route en attribuant des objectifs individuels et en leur confiant à chacun des responsabilités en matière de cybersécurité.

Mise en œuvre du déploiement

Ensuite, Sydney lance le déploiement des grands principes de cyberrésilience et de gestion des risques, dans le but de façonner la culture de la cybersécurité de son organisation en suivant une stratégie d’intégration définie. Elle introduit, met en œuvre et intègre les principes de cyberrésilience dans un modèle opérationnel cible. Elle s’appuie sur des projets pilotes, phares et existants pour intégrer des programmes de cyberrésilience dans de nouveaux développements.

De plus, Sydney élabore des formations adaptées à un large éventail de collaborateurs, dont les membres du conseil d’administration, afin de les sensibiliser aux cyberrisques propres à l’entreprise et de définir des attentes globales.

Surveillance et développement

Enfin, Sydney met en place une surveillance continue grâce à des processus d’échange de commentaires fonctionnant de manière instantanée, tout en communiquant des métriques de performance clés et en effectuant les examens de performance de routine nécessaires pour étendre la cyberrésilience à toute son organisation. Elle instaure un dialogue permanent avec les parties prenantes clés au sujet de l’intérêt des projets de cyberrésilience actuels et futurs et de la réalisation des objectifs de cybersécurité de l’organisation. Elle met également en place un processus consistant à transmettre en permanence des rapports et des retours au conseil d’administration, en rappelant les objectifs initiaux, en présentant des mesures simples et en communiquant sur la valeur globale des initiatives ainsi que sur les progrès réalisés.

De plus, Sydney surveille des indicateurs avancés (par exemple, les budgets des projets et la capacité à exécuter ceux-ci) et élimine les obstacles identifiés avant qu’ils ne puissent nuire aux efforts de mise en œuvre. Elle surveille et examine les indicateurs de performance définis et, si nécessaire, les adapte pour permettre le renforcement de la cybersécurité.

Évaluation de vos connaissances

Prêt à réviser ce que vous venez d’apprendre ? Ce questionnaire n’est pas noté, il vous permet simplement de faire le point sur vos connaissances. Pour commencer, faites glisser la description de la colonne de gauche vers le terme correspondant à droite. Lorsque vous avez fini d’associer tous les éléments, cliquez sur Soumettre pour vérifier votre travail. Si vous souhaitez recommencer, cliquez sur Réinitialiser.

Excellent travail !

Conclusion

Dans ce module, vous avez découvert un plan permettant d’évaluer les cyberrisques et d’améliorer la cyberrésilience dans les organisations du secteur du pétrole et du gaz. Vous avez également appris à mettre en œuvre les principes de cyberrésilience du FEM destinés aux conseils d’administration des sociétés de ce secteur. Bon travail !

Vous souhaitez en savoir plus sur les carrières et les technologies de la cybersécurité ? Consultez le centre de formation sur la cybersécurité pour découvrir d’autres rôles et lire les témoignages de véritables professionnels de la sécurité.

Ressources

PDF : FEM : Cyberrésilience dans le secteur du pétrole et du gaz

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires