Le responsable de la sécurité de l’information (CISO) s’est développé avec l’évolution constante du paysage des cybermenaces. Le CISO cloisonné devrait désormais appartenir au passé, car il est fondamental pour les décisions commerciales de l’organisation.
Les RSSI font partie intégrante de l’entreprise et ont désormais droit à un siège à la table du conseil d’administration. Alors que les exigences des entreprises s’intensifient, le rôle du RSSI est en train de se transformer, créant une architecture de sécurité centrée sur la valeur afin d’atténuer à la fois les cyber-risques et les risques commerciaux.
La protection d’une organisation contre les cybermenaces ne repose plus uniquement sur les épaules du RSSI. C’est une responsabilité collective qui s’étend à l’ensemble de l’organisation, en commençant par le sommet avec la direction de l’entreprise. et en s’étendant à tous les niveaux de l’entreprise. Prévisions de Gartner indiquent que d’ici 2026, plus de 50 % des cadres de niveau C auront des exigences de performance liées au cyber-risque dans leur contrat de travail. Prévu nouvelles réglementations de la SEC imposeront également aux organisations cotées en bourse de divulguer leurs efforts de gouvernance en matière de cybersécurité, en particulier la surveillance par le conseil d’administration du cyber-risque dans le cadre de sa stratégie commerciale plus large. Aujourd’hui plus que jamais, il est essentiel pour la santé de l’entreprise de positionner les RSSI de manière à ce qu’ils jouent le rôle de leader de la transformation.
Pourquoi la cybersécurité est en tête de liste des priorités
Le RSSI transformationnel est le pont entre la cybersécurité et la suite C. Cela dit, il doit être en mesure d’articuler efficacement le lien entre les cyberincidents et les perturbations de l’activité d’une manière qui résonne avec les différentes parties prenantes de l’organisation. Cela nécessite une compréhension holistique des trois principes fondamentaux du cyber-risque : les menaces, les vulnérabilités et l’impact.
Historiquement, les RSSI se concentraient principalement sur les aspects tactiques du risque cybernétique sans tenir compte de la situation dans son ensemble. Le déploiement d’outils de sécurité pour identifier les menaces et remédier aux vulnérabilités était notre pain et notre beurre, mais l’évaluation de la situation dans son ensemble était plutôt un concept étranger. Cependant, la prolifération des cyberattaques à l’échelle mondiale a ajouté une myriade de nouvelles variables à l’équation. Des adversaires des États-nations motivés par des tensions géopolitiques aux extorqueurs numériques motivés par le crime organisé, le paysage des cybermenaces est désormais malveillant et hautement sophistiqué – et il évolue en ce moment même.
À son tour, le RSSI moderne doit opérer au-delà des opérations quotidiennes en se concentrant de manière ciblée sur la situation dans son ensemble.
Décrypter l’impact du cyber-risque nécessite une visibilité sur les “joyaux de la couronne” de l’organisation. Il s’agit des processus et des actifs qui créent le plus grand avantage sur le marché, la croissance du chiffre d’affaires et le succès durable. L’obtention de ce niveau de compréhension n’est possible que par une communication calculée avec la direction de l’entreprise. Au lieu de demander simplement à la suite C quelles sont les cybermenaces qui l’empêchent de dormir, il serait plus efficace de poser la question suivante : “De quels produits ou services notre succès commercial dépend-il en ce moment ? Quels sont les principaux facteurs de différenciation qui sont essentiels pour s’élever au-dessus des concurrents du secteur ?”
Ensuite, avec une connaissance plus approfondie des actifs les plus précieux de l’organisation, les RSSI peuvent construire une architecture de sécurité conçue pour protéger les processus essentiels et minimiser les perturbations de l’activité.
Instaurer une culture de la sécurité au sein de l’équipe
Le RSSI transformationnel est chargé d’encourager la mise en place d’une culture de la sécurité. une culture de la cyber-résilience à l’échelle de l’entreprise. où tous les employés jouent un rôle dans la sauvegarde de l’organisation. Cependant, générer ce collectif ne peut pas être accompli par un engagement statique et une formation unique qui manque de conscience contextuelle. Cela se compare assez bien aux défis que représente le fait d’être parent d’un adolescent. Ce n’est pas parce que nous savons ce qui est le mieux pour nos enfants qu’ils feront toujours ce que nous leur disons. Mais si nous pouvons illustrer efficacement la valeur qui se cache derrière nos conseils – et que nous les donnons dans leur meilleur intérêt – il y a beaucoup plus de chances qu’ils se traduisent par une action positive.
Il en va de même pour les RSSI chargés d’instaurer une culture de la cyber-résilience. Il ne faut pas s’attendre à ce que des politiques standard ou des formations de routine se traduisent automatiquement par une conformité à la sécurité de 100 % de l’ensemble du personnel. Pour que l’engagement interne résonne, il doit être adapté à l’utilisateur final individuel et conçu dans une optique de personnalisation – en offrant un raisonnement valable qu’une main-d’œuvre non technique peut comprendre. Lorsqu’on leur donne une route pavée de protocoles éprouvés à suivre, les employés seront plus enclins à suivre les protocoles et à assurer la sécurité de l’organisation. À un niveau macro, cela crée une dynamique où la sensibilisation à la sécurité est ancrée dans les flux de travail quotidiens, dans le cadre d’une culture d’entreprise globale.
Comment réussir en tant que RSSI
En tant que RSSI, je suis le premier à reconnaître qu’il n’est pas toujours facile d’impliquer la direction dans les questions de cybersécurité. Un jour, j’ai rencontré une directrice financière pour m’assurer qu’elle était d’accord avec une analyse de rentabilisation de la sécurité que nous voulions adopter. Au bout de quelques minutes, elle m’a interrompu et m’a dit : “Frank, nous avons compris. Nous savons que nos mesures de cybersécurité doivent être prioritaires.” Pendant un bref instant, j’ai commencé à penser que la réunion allait dans la bonne direction.
Sauf que c’est alors qu’est arrivé le redoutable mot “B”. Elle a poursuivi : ” MAIS, ce que nous voulons vraiment savoir, c’est : “Dépensons-nous trop ? Dépensons-nous trop peu ? Comment nous débrouillons-nous par rapport à nos pairs de l’industrie ?”
Si je n’étais pas prêt à répondre à ses préoccupations, l’ensemble de l’analyse de rentabilisation que nous proposions aurait pu dérailler – ce qui aurait entraîné des problèmes non résolus qui auraient pu mettre notre entreprise en péril. Voilà le genre de questions que les cadres supérieurs posent chaque jour à leurs responsables de la sécurité. Pour y répondre efficacement, garde à l’esprit ces cinq domaines d’intervention.
Choisir le bon cadre de travail : Choisis un cadre reconnu par l’industrie qui non seulement s’aligne sur le profil de risque de ton organisation, mais qui démystifie également les mesures de cybersécurité auprès de la suite C et du conseil d’administration. Le cadre de cybersécurité du NIST, par exemple, aide à simplifier les complexités de la sécurité d’une manière qui peut être plus facilement consommée par les chefs d’entreprise.
Mesure ta maturité : Il ne suffit pas d’adopter et d’exploiter un cadre de sécurité. Au fur et à mesure que tu mets en place les différents contrôles, assure-toi d’établir une base de référence et de mesurer la maturité de tes principales capacités en matière de sécurité. De cette façon, les progrès peuvent être suivis au fil du temps.
Comparaison avec les autres entreprises du secteur : Le niveau de dépenses cybernétiques d’une organisation doit être relatif à son profil de risque. Mais au fur et à mesure que ta maturité s’améliore, identifie les performances de l’architecture de sécurité de l’organisation par rapport à l’ensemble du secteur – cela peut t’aider à déterminer si tu dépenses trop ou pas assez.
Fixer un objectif optimal: Les organisations situées à l’extrémité supérieure du spectre de la maturité peuvent décider de se comparer à un secteur plus mûr en guise d’objectif extensible. Mais même si tu restes dans ton secteur d’activité à des fins de comparaison, fixe-toi un objectif de maturité qui soit toujours basé sur une compréhension profonde des risques de l’entreprise.
Mesurer continuellement l’efficacité : Même avec un cadre bien défini, un modèle de maturité, un point de référence et un objectif en tête, une question clé demeure : utilises-tu tes ressources limitées de manière efficace ? Au fur et à mesure que les organisations déploient, maintiennent et exploitent leur programme de sécurité, les mesures et les évaluations continues devraient être non négociables.
Frank Kim est un SANS Fellow et instructeur et CISO-in-Residence à YL Ventures.
Tu pourrais aussi lire :
À quoi les RSSI doivent-ils s’attendre en 2023 ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
