Il n’est pas rare de croiser des “directeurs de la sécurité”, “vice-présidents de la sécurité” ou encore “responsables de la cybersécurité”. Une chose est sûre : lorsque l’on est chargé de protéger son organisation contre les cyberattaques, l'intitulé du poste est le cadet de ses soucis.
En plus des nombreuses responsabilités, il incombe au RSSI de combler un immense fossé en matière de communication. En effet, leur travail consiste à expliquer l'importance de concepts extrêmement techniques à d'autres professionnels dont la mission est toute autre.
Il a été conseillé à de nombreux RSSI d'utiliser le langage commercial. Pour autant, le langage technique reste le plus exact, même s’il peut sembler abstrait aux équipes de direction et aux conseils d'administration, qui voient peser sur leurs épaules la responsabilité d’une bonne compréhension des problématiques cyber tout en menant un travail critique de gestion des risques.
Le simple fait d'adapter le vocabulaire n'est pas une solution en soi. En se focalisant sur la seule formulation, on passe à côté de l'essentiel. Heureusement, il existe une approche qui permet à tous les professionnels d’une entreprise d'être sur la même longueur d'onde.
Être d'accord sur les objectifs
En tant que RSSI, il est possible de surmonter bien des difficultés en démontrant que la cybersécurité peut servir les objectifs commerciaux de l'entreprise. Cette idée est nouvelle pour de nombreux dirigeants qui considéraient jusque-là les équipes de sécurité comme des pompiers, payés pour répondre à d'incessantes sonneries d'alarme. Désormais, l’heure est à la cybersécurité axée sur les résultats, qui exige une nouvelle approche.Il est désormais nécessaire de créer des documents permettant aux dirigeants une compréhension et identification instantanée des enjeux de cybersécurité, et ce dans un langage simple. Ce type de documents peut notamment permettre de répondre à des questions simples mais souvent considérées à tort comme complexes.
1 - Quels résultats souhaitons-nous obtenir ?
Une stratégie d'entreprise peut viser des résultats à court terme mais elle doit aussi envisager l'avenir à plus long terme. Cela peut passer par exemple par prendre soin de sa propre protection en interne. Mettre en place une politique de sécurité stricte, des process afin de se protéger non seulement soi-même mais également les tiers. Tout cela va au-delà de toute stratégie commerciale à court terme.2 - Quels principaux risques pèsent sur les objectifs commerciaux ?
Il faut impérativement éviter toute attaque de la supply chain. Cela tombe sous le sens, mais l'envoi de malwares à des clients est catastrophique du point de vue de la crédibilité. Les fuites de données et la perte de contrôle de l'infrastructure représentent des menaces du même ordre.3 - Quels objectifs de sécurité devez-vous viser pour minimiser les risques et atteindre nos objectifs commerciaux ?
Tout professionnel de la cybersécurité sait à quel point les supply chains numériques sont complexes et multi-facettes. Il est capital de responsabiliser tous les professionnels qui travaillent directement avec les différents points de contact de cette chaîne. Ils doivent acquérir un niveau de réflexion suffisant sur la cybersécurité, et ne transmettre aux clients que des logiciels sécurisés. Pour ce faire, la sécurité doit être intégrée d'emblée à l'ensemble des process, depuis l'approvisionnement jusqu'à la signature des contrats.4 - Existe-t-il des occasions particulières à saisir, qui puissent les aider à répondre à leurs objectifs de sécurité ?
L’entreprise est peut-être en train de se numériser ou de se cloudifier. Peut-être est-ce une occasion à saisir pour atteindre les objectifs de sécurité, sans avoir à lancer directement une nouvelle initiative. Levez simplement la main et demandez : « Est-il possible d’intégrer la cybersécurité dans ce processus ? »5 - Les initiatives en cours ou à venir servent-elles à atteindre les objectifs de sécurité ?
Il n’est pas rare de voir dans les organisations de longues listes d’audits et autres procédures de conformité en cours. Il faut toujours garder en tête qu’aller à l’essentiel permet d’analyser ce qui est déjà en place et le cas échéant de les repenser.Plutôt que de lancer sans cesse de nouvelles initiatives à petite échelle, il peut être pertinent d’adopter ou d’améliorer une approche DevSecOps, pour optimiser les efforts en matière de sécurité.
6 - Quelles ressources - personnes, processus et technologies - contribuent aux résultats de sécurité ?
Il est essentiel d'identifier les initiatives internes et externes, c'est-à-dire l'ensemble des éléments qui permettent d'atteindre les objectifs de sécurité de l'entreprise. Si la liste devient trop longue, il faut identifier les éventuelles solutions ou produits en double, qui ne sont plus vraiment utiles.Cette discussion conduit naturellement à la question finale.
7 - Quelles dépenses sont nécessaires pour atteindre ces objectifs de sécurité ?
Lorsqu’on évoque les coûts ici, il s'agit de coûts réels. Ils comprennent les honoraires des consultants externes, les salaires du CISO, les abonnements au MDR, la formation à la sécurité et les abonnements aux plateformes. Une fois ces chiffres analysés, il est possible de prendre des décisions rationnelles, pas uniquement guidées par des besoins immédiats.En tant que RSSI, il est important de garder à l’esprit que l’identification et la communication sont les maîtres-mots de la réussite d’un process de cybersécurité en entreprise. Bien trop souvent, la gestion des risques est prioritaire sur l’explication des objectifs, défis et responsabilités de chacun. Or il est désormais primordial d’adopter un langage commun à tous les professionnels concernés de près ou de loin par la cybersécurité.
Par Christine Bejerasco, Chief Information Security Officer chez WithSecure