Ce rôle n'est pas facile à assumer. Si les dirigeants d'entreprise et les conseils d'administration comprennent que la cybersécurité est un risque critique, ils sont également confrontés à la difficulté de déterminer son degré d’urgence face d’autres contingences de leur entreprise, notamment financières. Ils doivent ainsi disposer des informations nécessaires afin de prendre les bonnes décisions lorsqu’un problème survient. Mais comment faire pour être sûr que les RSSI soient bien soutenus par leurs dirigeants lors de l’apparition dudit problème ? Et comment réussir à les soutenir quand ils ne font pas partie des “priorités” ?
Les menaces
Six ans se sont écoulés depuis la fameuse fuite d'Equifax. Cette crise a pu mettre en lumière que toutes les entreprises sont des cibles potentielles et qu’elles doivent examiner plus attentivement la manière dont elles stockent, accèdent et protègent les informations, ainsi que la robustesse des systèmes qui leur permettent de le faire.La bonne nouvelle, cependant, est que la sensibilisation aux menaces n'a jamais été aussi forte dans l'ensemble de l'industrie. À l'inverse, les criminels et les acteurs étatiques sont plus motivés que jamais. Aujourd'hui, nous assistons à des menaces dont l'ampleur et l'efficacité dépassent de loin les stratégies, tactiques et techniques du passé. Les criminels se sont rués sur les ransomwares, les BEC et les tactiques d'extorsion, tandis que les acteurs étatiques se concentrent sur les infrastructures critiques et le vol de propriété intellectuelle.
En outre, l'avènement de l'intelligence artificielle a permis aux criminels de disposer d'un large éventail d'outils, qu'ils déploient souvent contre des organisations en sous-effectif, dont les équipes informatiques remplissent diverses fonctions essentielles, souvent cloisonnées. En d'autres termes, le RSSI doit faire face à un nombre de défis plus élevé que jamais, englobant un nombre conséquent de paramètre et d’enjeux.
Prévention et réponse
Dans de nombreux cas, les RSSI, pour résoudre les problèmes, s’appuient uniquement sur la technologie, déployant des solutions sans mettre en place l'infrastructure ou la formation nécessaires pour soutenir leur personnel. C’est précisément dans ces cas de figurequ’une approche plus holistique, englobant les personnes, les processus et la technologie, tout en se concentrant sur une culture de prévention et de réponse, pourrait être intéressante.En matière de prévention, le personnel doit être formé à reconnaître le phishing et les autres stratagèmes afin de constituer une défense de base. De même, le RSSI doit établir une relation de collaboration avec les équipes informatiques, dont le travail quotidien est important pour l'application des correctifs et d'autres tâches orientées vers les processus. Un autre aspect essentiel de la prévention consiste à s'assurer de la visibilité de ce qui se passe dans l'entreprise. La technologie peut contribuer à cette visibilité, mais des personnes physiques sont nécessaires pour suivre les signaux d'alarme potentiels et rechercher les menaces potentielles.
Pour répondre aux menaces, il est impératif que les RSSI disposent d'un plan clairement défini, fréquemment mis à l'épreuve et incluant les acteurs et les scénarios de menace les plus probables. Ce plan devrait inclure non seulement les collaborateurs, mais aussi les cadres supérieurs et parfois les membres du conseil d'administration, afin de garantir une bonne préparation à la communication de crise. En outre, les plans d'assurance cyber d'aujourd'hui incluent souvent des coachs pouvant aider à concevoir et à mettre en œuvre des protocoles - un atout précieux à prendre en compte lors de la mise en place de plans d’intervention.
Leadership en matière de sécurité
La fonction sécuritaire - et la responsabilité des RSSI - se développant et évoluant avec le temps, de nouvelles capacités sont apparues comme essentielles pour soutenir les priorités susmentionnées, notamment :- La facilitation de la gestion des risques, axée sur l'identification et la communication des principaux risques de sécurité en termes de business et sur le conseil aux chefs d'entreprise et aux conseils d'administration en matière de cyber risques ;
- Des services de protection, tels que la sécurité physique, les incidents non-cyber, la violence sur le lieu de travail, et la gestion de crise ;
- La sécurité opérationnelle axée sur la protection des infrastructures critiques telles que les usines, les machines et les systèmes de contrôle industriel ;
- La protection des données et de la vie privée, y compris la conformité avec des réglementations telles que le RGPD ;
- La cyber-résilience, y compris des fonctions telles que la gestion des menaces et des vulnérabilités, la réponse et la récupération, la planification de la continuité, la continuité du DevOps et la sécurité des applications ;
- L'audit transversal pour s'assurer que la sécurité reste prise en compte et comprise dans l'ensemble de l'organisation ;
- La gestion des clients externes, démontrant l'investissement de l'entreprise dans la protection des données et la sécurité pour aider à gagner et à conserver des clients.
La tâche principale d'un RSSI consiste à établir des relations et des partenariats avec ses pairs. L'investissement dans la formation pour développer et entretenir ces compétences doit être une priorité. La continuité de l'activité et le succès opérationnel en ces temps difficiles en dépendent. D'un point de vue plus fondamental, la sécurité ne peut pas être laissée à la seule responsabilité du RSSI. Ce rôle change avec l'évolution rapide de la technologie, du business et du paysage des menaces ;la sécurité est devenue intrinsèque à tous les domaines et opérations de l'entreprise.
Par Graeme Payne, Senior Director of strategy, risk, compliance and identity protection chez Kudelski Security