La suite de notre entretien avec Rick Howard, CSO de Palo Alto Network, qui évoque en exclusivité pour IT Social l'évolution du rôle du RSSI.
Pour lire la première partie de notre interview de Rick Howard, CSO de Palo Alto Network, qui évoque l'évolution de la sécurité dans l'entreprise, cliquer ici « Pour le RSSI, le cyber-risque n'existe pas, seul existe le risque tout court ».
Comment le rôle du RSSI évolue-t-il par rapport au service informatique et au directeur informatique ?
Rick Howard : Une saine tension a toujours existé entre informaticiens et personnel dédié à la sécurité au sein de l'entreprise. Les premiers se préoccupent évidemment de la sécurité, mais ils se soucient plus d'administrer le système et de traquer au maximum les coûts de tous les projets. C'est d'ailleurs ce qu'ils devraient faire. Le personnel dédié à la sécurité s'intéresse davantage aux risques encourus par l'entreprise, et pas seulement à ceux qui concernent les projets informatiques, mais tous les aspects de l'activité : ressources humaines, affaires juridiques, opérations, finance, stratégie, marketing et ventes. La plupart de ces autres fonctions commerciales incluent un élément de sécurité informatique, mais le cyber-risque n'est pas le seul risque que les dirigeants doivent surveiller.
Au milieu des années 2000, il est parfois devenu commode de noyer la fonction de sécurité au sein d'une entreprise dans la fonction informatique. Autrement dit, le RSSI travaille pour le CIO. Cela n'est pas une mauvaise chose en soi. D'ailleurs, ce petit arrangement fonctionne bien dans de nombreuses sociétés. En général, les informaticiens gèrent les fonctions d'automatisation quotidiennes tandis que les équipes en charge de la sécurité jouent davantage un rôle de surveillance en termes d'architecture de sécurité, de politique, d'appréciation des risques et des opérations relatives au contrôle d'exploitation (SOC). Or, une telle organisation montre que les dirigeants de l'entreprise ne saisissent pas toute l'ampleur du problème. Car ce n'est pas de cyber-risque pour l'entreprise dont il est question, mais de risque tout court.
C'est Howard Bladwin, de Forbes, qui a déclaré en mars dernier voir d'un œil défavorable les récents changements observés dans les entreprises qui ont fait éclater la fonction du responsable sécurité pour qu'elle soit mise sur un pied d'égalité avec celle du directeur de l'informatique. Selon lui, ces responsables sont des cadres aux salaires plantureux capables de gérer des priorités concurrentes. Or, là n'est pas la question, et l'un des derniers souffre-douleur en date lié à la violation de données à caractère public en témoigne d'ailleurs, la chaine de magasins Target. Dans un entretien réalisé par Jack Rosenberger, Eric Cole, fondateur et expert scientifique en chef chez Secure Anchor Consulting, a émis une hypothèse sur l'une des raisons ayant pu contribuer à l'affaire Target : « Il est presque certain que Target disposait d'une équipe de sécurité impressionnante qui vociférait à propos de toute sorte de problèmes de sécurité. Or, personne ne l'écoutait et ne défendait sa cause auprès des dirigeants ». Eric Cole souligne que parmi toutes les priorités avec lesquelles le responsable principal de la sécurité devait jongler, c'est la sécurité qui a été le grand perdant. Comme Brian Krebs l'a écrit dans le Guardian ce mois-ci : « Aujourd’hui, pour ainsi dire tous les aspects des opérations de clientèle sont connectés à internet. Si la sécurité est défaillante, la technologie l'est aussi. Et lorsque la technologie s'arrête, les activités commerciales sont complètement paralysées ».
Avant la subtilisation des données, la pression pour maintenir l'infrastructure informatique opérationnelle a dû être immense à la fois pour le responsable principal de la sécurité qui a démissionné et le directeur général nouvellement révélé de ses fonctions. Brian Krebs suggère qu'avec le recul, en raison des effets dévastateurs sur l'activité, le RSSI de Target n'aurait pas dû travailler pour le responsable principal de la sécurité, mais que cela aurait dû être l'inverse.
Retenons votre proposition d'un responsable principal de la sécurité, le CSO. Comment son rôle évolue-t-il par rapport à l'ensemble des cadres de haut niveau ?
Dans certaines grosses entreprises, le CSO fait partie intégrante de l'équipe de direction, c'est le cas chez Cisco et Oracle, quoique cela ne soit pas la règle dans la plupart des sociétés, grandes ou petites. Cela implique que l'entreprise ne considère pas la sécurité comme indispensable à son activité. Je ne suis pas en train de dire que cela est le cas, seulement que c'est ce qui est impliqué. Tout ce qui relève du juridique est indispensable. Les ressources humaines le sont aussi. Il en va de même de la finance, du marketing et des ventes. Mais pas de la sécurité. Il est intéressant de noter que les chefs d'entreprise s'empressent d'embaucher un CSO/RSSI dès qu'un incident sérieux survient. Ce fut le cas chez RSA, Sony, Adobe, et Target. Un peu rétrograde, non ? Or, ce genre d'événement oblige les chefs d'entreprise à repenser différemment l'importance de la sécurité pour leur activité. Je prédis qu'à terme, cela aura pour effet de hisser le CSO au sein de l'équipe de direction en guise de meilleure pratique.
À long terme, quelles compétences et quelles qualités les entreprises devraient-elles rechercher chez un CSO ?
Je continue de penser que le CSO doit être issu des équipes techniques. Le monde actuel est tellement compliqué techniquement que celui qui ne dispose pas de ce bagage se retrouve totalement dépassé par la dernière tendance en matière de sécurité. La compétence du CSO qui doit faire école, cependant, consiste à traduire les connaissances techniques en un discours que le dirigeant d'entreprise comprendra et qui l’intéressera.
Prenez Heartbleed, par exemple. Cette vulnérabilité logicielle a exposé de nombreuses entreprises à un mécanisme d'attaque par piratage inhabituel. Sans compréhension véritable du risque potentiel du mécanisme d'attaque, les spécialistes de la sécurité seraient dans l'incapacité de faire prendre la mesure du risque encouru par l'entreprise aux dirigeants. En d'autres termes, le directeur général se moque pas mal de savoir combien de machines doivent être équipées de correctifs Patch Tuesday de Microsoft ! Par contre, il se soucie de savoir si ce correctif affecte un élément clé générateur de recettes pour l'activité ; il devrait donc envisager de rediriger ces ressources vers ce composant afin de réduire le risque le plus rapidement possible. Quand bien même les techniciens ont du mal à traduire ces notions, ils peuvent — et ils doivent — le faire.
Le RSSI est souvent considéré comme un évangéliste de la sécurité, qui prône la sécurité partout au sein de l'entreprise, parmi les salariés. Doit-il l'être également vers les partenaires externes et jusqu'aux clients ?
Dans n'importe quelle société, l'état de la sécurité évolue au fil du temps. Des contrôles de sécurité sont déjà en place pour contrer certaines menaces, et il existe un plan de mise en œuvre d'autres contrôles de sécurité visant à atténuer d'autres menaces. En matière d'évangélisme interne, j'ai constaté qu'il convient d'expliquer les contrôles au salarié moyen et jusqu'à un très haut niveau : expliquer ce qui pourrait se produire en l'absence du contrôle et faire la démonstration de l'efficacité du contrôle qui a permis d'éviter tel ou tel scénario. Ce genre de discussion rend les choses concrètes : ce n'est pas un concept abstrait que les informaticiens veulent imposer aux salariés sans raison apparente.
Pour ce qui est de l'évangélisme externe, il incombe à l'ensemble des spécialistes de la sécurité de participer à la communauté grâce au partage non seulement des meilleures pratiques éprouvées, mais aussi de tout ce qui a été tenté et qui a échoué sans produire les résultats escomptés. Lorsqu'il s'agit de trouver de nouvelles approches en matière de concept sécuritaire en entreprise, le fait de dire que d'autres avant nous dans la communauté de la sécurité s'y sont frottés avec un certain succès aide considérablement.