Selon le CESIN, et face au risque grandissant, l’émergence de la fonction de Directeur cybersécurité doit permettre une action globale et transverse. Ses missions sont de garantir la cohérence, la complétude, l’efficacité et l’amélioration continue des dispositifs sécuritaires de l’entreprise.
La prise de conscience des risques encourus, et le fait que même les plus grandes entreprises ne sont pas à l’abri d’attaques réussies, amène les entreprises à s’interroger sur leur stratégie de cybersécurité. D’après le dernier baromètre du CESIN, 70 % des répondants considèrent que la gouvernance est le premier enjeu de demain, suivi par celui de la formation et de la sensibilisation des usagers (57 %).
Dans un tel contexte, les fonctions de gouvernance, de formation et de remédiation nécessitent une approche systémique qui ne peut être conduite par le RSSI seul. D’où l’émergence de la fonction de Directeur cybersécurité. Le CESIN s’est penché sur ces évolutions, et a mené une étude qui a conduit à l’élaboration d’une fiche sur cette nouvelle fonction, Le Directeur cybersécurité décryptée.
Faire évoluer le modèle de gouvernance de la sécurité
La fonction de Directeur cybersécurité est née de la nécessité de piloter la cybersécurité par « un cadre dirigeant ayant la capacité d’adresser pleinement le domaine, dans sa transversalité, son évolutivité et sa technicité ». C’est à la « direction générale de créer la fonction, de la positionner au rang adéquat dans l’organisation de l’entreprise, de la doter d’un mandat formel et des moyens nécessaires à l’accomplissement de sa mission », conseille le CESIN.
Pour ce faire, le Directeur cybersécurité doit être dans une position hiérarchique en prise directe avec le Comex pour tout ce qui touche au domaine de la cybersécurité. « Un rattachement à un membre du Comex est à privilégier » estime le CESIN.
Une capacité d’action globale et cohésive
Pour éviter de diluer les ressources, la direction cybersécurité « doit avoir une capacité d’action globale. Elle est plurielle et intègre tous les talents et expertises nécessaires », précise la fiche métier. Elle doit être en mesure de piloter :
- l’identification de l’ensemble des risques cyber et la spécification des stratégies et politiques,
- le catalogue de services et de solutions qui vont permettre à chaque partie d’intégrer la sécurité en amont dans ses activités et dans les projets de l’entreprise, en couvrant les dimensions techniques, contractuelles, assurancielles, organisationnelles et humaines,
- les dispositifs opérationnels de surveillance, de détection et de réponse aux incidents et de gestion de crise,
- les stratégies de continuité et de cyber-résilience du SI,
- le développement de la culture sécuritaire, en filigrane de toutes ces activités.
Source : CESIN