C’est la nouvelle tendance aux US, la redéfinition de la responsabilité de la cybersécurité à l’échelle des organisations, avec l’ajout aux DSI et RSSI d’un Responsable des risques CRO (Chief Risk Officer).
La cybersécurité ne peut plus exister en vase clos, elle ne peut être l’affaire exclusive du DSI ou du RSSI, et la position des employés qui pour la moitié d’entre eux tiennent la DSI responsable de la sécurité (source : SailPoint) n’est pas tenable.
Comment peut-on tenir le DSI responsable de l’employé qui clique sur un lien malveillant ? La cybersécurité doit être l’affaire de tous dans l’organisation, et faire l’objet d’une approche plus globale de la cyber-sensibilisation. Les responsables des ressources humaines comme des achats doivent aider à adopter une approche plus inclusive et holistique de la sensibilisation.
Certes, pour beaucoup d’entreprises l’investissement dans la cybersécurité coûte cher, mais le prix à payer si elle n’est pas prise en compte est encore plus cher. Il faut que la cybersécurité devienne visible et omniprésente.
Pour cela, plusieurs experts intervenant au Symantec Symposium qui vient de se tenir invitent à étendre la responsabilité de la cybersécurité à l'échelle de l'entreprise, et considèrent que c’est l'une des étapes clés pour redéfinir le cyber et son traitement.
Cette extension passe par le transfert de la responsabilité exclusive du DSI ou du RSSI à l’ajout d’un responsable des risques CRO (Chief Risk Officer). Qui donc occupe une place de dirigeant (C-suite), et peut dans l’idéal reporter au Conseil d’administration (board).
La sécurité ne peut plus être reléguée à un élément de support, c’est un élément critique (mission critical) des organisations. Toutes les directions, opérationnelles comme métier, doivent agir comme agents de liaison en matière de cyber-sensibilisation. Et une direction du risque, par son positionnement stratégique, peut être une des clés pour rendre efficace la sensibilisation.
Source : Symantec Symposium