Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

A qui la responsabilité de la gestion de la sécurité ?

août 2021 par Tangi Le Boucher, expert sécurité au sein d’enioka Consulting

Avec le développement des cyberattaques et la numérisation grandissante de tous les métiers, des technologies, des réseaux, aujourd’hui, on assiste dans les entreprises à des débats houleux pour savoir qui doit gérer la sécurité informatique : la DSI, le responsable réseau, le RSSI... ?
Tangi Le Boucher, consultant architecte cybersécurité au sein d’enioka Consulting,
apporte son éclairage.

enioka, le partenaire de référence pour aider les entreprises à gérer la complexité de leur SI, est très souvent confronté, comme souvent dans ce secteur, à des problématiques de cybersécurité. Pourtant, les technologies, les équipes informatiques et les cyberattaques ont évolué ces dernières années. Alors, qui doit prendre le lead sur la gestion de la sécurité ? Tangi Le Boucher, consultant architecte cybersécurité de la « maison » enioka Consulting, livre ici son analyse sur le sujet.

Historiquement : le filtrage réseau comme axe principal d’évaluation de la sécurité

Il faut bien avoir conscience que quand on parle de sécurité on parle de choses assez différentes entre les aspects purement métiers, les aspects gouvernance et les aspects cybersécurité.

Historiquement, s’il y avait bien des mesures de sécurité plus ou moins efficaces à différents endroits du SI (système, middleware, application, réseau, périphériques utilisateurs…) la sécurité globale était essentiellement appréciée par la prisme du filtrage réseau. Compte tenu du niveau de la menace, cela pouvait suffire dans la plupart des cas, et nécessitait peu de gouvernance.

Aujourd’hui, du fait d’une plus grande maturité de la sécurisation de l’exposition réseau d’une part, et de l’ouverture de plus en plus importante des SI d’autre part, les attaques se sont déportées vers les utilisateurs (hameçonnage par exemple), les applications (exploitation de faille applicative), et même les fournisseurs d’applications (les attaques de « supply chain », qui visent à introduire une vulnérabilité dans une application utilisée par la cible réelle des attaquants), …

Un renforcement des compétences cybersécurité, mais pas seulement…

Dans ce contexte, les préoccupations de cybersécurité se sont donc également déportées sur tous les domaines de l’IT, et l’appréciation du niveau de sécurisation est devenue plus globale.

Selon l’appétence, la culture, la maturité, et l’exposition historique aux menaces cyber et son évolution (en vraisemblance & en impact), les entreprises ont plus ou moins fortement renforcé les compétences cybersécurité de leurs équipes, que ce soit par de la formation ou des renforts des équipes opérationnelles, mais aussi par la mise en place d’équipes dédiées à la cybersécurité, voire même des équipes dédiées au contrôle (puis au contrôle du contrôle…) pour réduire les risques d’incertitudes, selon les enjeux de sécurité de l’entreprise.
Au-delà des aspects purement cybersécurité & sécurité opérationnelle, pour faire face à la complexité croissante des SI mais aussi des mesures de sécurité, la tendance est à une cybersécurité de plus en plus pilotée par les risques pour des mesures de sécurité plus adaptées aux enjeux particuliers des projets de l’entreprise.

Compte tenu de ces différentes évolutions, les entreprises se sont organisées pour coordonner un nombre croissant de parties prenantes de leur cybersécurité, et assurer une gouvernance & un pilotage plus global de celle-ci.
Cela se fait évidemment en fonction de la taille de l’entreprise & ses enjeux, et la prise de conscience n’allant pas à la même vitesse dans tous les secteurs, il est donc naturel de trouver des disparités d’organisation.

Des responsabilités sécurité distribuées à orchestrer efficacement

Ce que l’on peut observer sur cette problématique est que, dès qu’une entreprise atteint une certaine taille, les différentes responsabilités autour de la sécurité doivent être identifiées pour s’assurer de leur complétude et de leur cohérence, distribuées aux différents acteurs pour s’assurer qu’il n’y a ni manque ni de recouvrement, et enfin orchestrées efficacement pour être perçu comme un accélérateur plutôt qu’un frein à l’activité et l’évolution de l’entreprise.

Pour les entreprises de taille plus modeste, l’enjeu est différent : il ne s’agira pas tant de distribuer efficacement que de s’assurer de la bonne évaluation des risques et de la bonne complétude des mesures.

Aujourd’hui, partout où nous intervenons, la clé de la réussite de cette répartition de la responsabilité de la sécurité tient en une phrase : la répartition doit être claire et exprimée dès le départ, des développeurs aux équipes réseaux, en passant par les responsables IT opérationnels, et doit faire l’objet d’une revue régulière... Une fois cela mis en place précisément, chacun sait ce qu’il a à faire et ce qu’il doit attendre des autres, et son champ d’intervention est précis et respecté des autres responsables sécurité, tout en privilégiant la bonne collaboration entre les différentes équipes.

Et cette nécessité de clarté est encore plus exacerbée dans les grandes organisations dans lesquelles il est important de penser aussi au niveau hiérarchique des responsables. Pour aider cette bonne prise en compte de la sécurité, le RSSI est passé du statut d’électron libre qui gêne les métiers avec des contraintes à celui d’architecte de la sécurité positionné au même niveau que le DSI dans l’organigramme.


Voir les articles précédents

    

Voir les articles suivants