Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : LA priorité, aborder les risques en collaboration avec les fonctions métier

juillet 2020 par Sam Curry, Responsable de la sécurité chez Cybereason

Le défi le plus important pour garantir la sécurité de l’information n’est pas d’identifier les cybercriminels. Ce n’est pas non plus de déployer des correctifs, et encore moins de bloquer les attaques par phishing. Ces problématiques sont bel et bien tangibles, et elles font partie de l’essence même des métiers de la sécurité informatique. Le véritable enjeu reste toutefois de pallier le manque de coordination des activités informatiques avec l’ensemble des opérations métier. De nombreuses raisons justifient cet état de fait. En voici la liste, mais la solution est limpide.

Sensibiliser, collaborer, impliquer…

Pour une coordination optimale, la clé consiste à aborder fréquemment les risques en partenariat avec les fonctions métier. Cela ne se limite pas à des pratiques habituellement recommandées, telles que la communication du nombre de virus bloqués en un mois ou le suivi de KPI pertinents. Il s’agit plutôt d’établir un dialogue entre fonctions de sécurité et fonctions métier, un dialogue qui modifie réellement les comportements, sécurité en tête.
La plupart des professionnels de la sécurité accèdent aux plus hautes sphères décisionnelles des entreprises en raison de leur perspicacité dans le domaine qui leur est propre. Une fois les échelons gravis, ils s’aperçoivent toutefois souvent que la sécurité n’est une priorité pour personne. Faire bonne impression auprès des membres de l’équipe dirigeante est ainsi crucial. Pour se démarquer, les professionnels de la sécurité devront affronter vents et marées pour démontrer leur importance de manière fondamentalement nouvelle et différente, et convaincre la direction qu’ils agissent dans l’intérêt de l’entreprise.

La tâche est difficile

En effet, les RSSI nouvelle génération sont souvent hantés par la peur de manquer quelque chose : la sécurité les passionne, ils souhaitent rester au fait des toutes dernières avancées et ne cessent de vouloir faire leurs preuves. Il s’agit toutefois d’une erreur. La véritable fonction des RSSI consiste à servir l’entreprise et à jouer un rôle logistique et managérial vital pour le bon respect des règles de sécurité au sein de leur entreprise. Gestion des ressources humaines, établissement des budgets et respect des priorités de l’entreprise sont, en d’autres mots, les domaines les plus importants dans lesquels ils peuvent intervenir, que cela relève de la sphère générique du décisionnel ou d’un savoir-faire comptable plus spécialisé. Tout dépend ici de la faculté à aborder les risques et à y réfléchir au niveau de l’entreprise dans son ensemble, tout en comprenant qu’un grand nombre de collaborateurs ont un rôle à jouer dans la neutralisation des risques, notamment ceux qui sont confrontés à des risques juridiques, commerciaux, financiers, opérationnels et autres risques informatiques, le directeur juridique, le directeur marketing, le directeur des recettes, le directeur financier, le directeur de l’exploitation, le directeur de l’information et ainsi de suite. Mieux vaut éviter le rôle du RSSI un peu trop sûr de lui qui affirme être un gourou du risque prêt au combat.

Les fonctions métier génèrent des risques de premier ordre qui ne relèvent pas forcément de la sécurité

Ces risques ne suivent pas de logique adaptative et ne peuvent pas être complètement éliminés. Les aléas climatiques sont un bon exemple de risque de premier ordre : la manière dont on se protège d’une tempête n’affectera pas la trajectoire qu’elle emprunte. À l’instar des équipes commerciales qui sont confrontées à la concurrence et des équipes juridiques qui affrontent d’autres avocats, la sécurité est un service qui gère les risques de second ordre posés par un adversaire intelligent, motivé et armé. En matière de sécurité, la tempête change fondamentalement de trajectoire en fonction de ce qui est protégé et de la manière employée pour le faire. Un grand nombre de responsables n’évoluant pas dans le domaine de la sécurité sont profondément frustrés de ne pas voir leurs problèmes rapidement résolus ou de ne pas disposer d’une solution simple à mettre en œuvre.

En réalité, la sécurité sera toujours liée à un enjeu prioritaire. Si, par chance, une entreprise parvient à résoudre ses trois principales problématiques de sécurité, trois autres feront surface et les priorités évolueront. Pour un directeur de l’exploitation, un directeur de l’information ou un responsable R&D habitué à gérer des risques simples et à les contenir à un niveau acceptable grâce à un arsenal d’outils managériaux et budgétaires, ce contexte peut être source d’une profonde frustration. L’atteinte d’une disponibilité de 99,999 % est, par exemple, complètement entravée si un service s’attelle à combattre un malware fantôme actif sur le réseau plutôt qu’à améliorer la qualité de la supply chain ou à optimiser l’élimination des déchets.

Pour relever l’ensemble de ces défis, des objectifs doivent être définis

Les RSSI, qu’ils soient nouvellement nommés ou non, doivent se donner un objectif, celui de modifier le paysage des risques et d’établir un dialogue continu avec les fonctions métier.

Les indicateurs de performance/KPI sont importants, l’automatisation est importante, mais il s’agit là d’objectifs secondaires par rapport à la capacité d’adaptation de l’entreprise, à sa flexibilité et à la priorité qu’elle donne à l’amélioration en temps réel. L’ensemble de ces facteurs imposent aux RSSI de ne pas se précipiter sur les problématiques de sécurité dès qu’elles surviennent, ce qui exclurait les autres fonctions, et d’accorder une grande attention aux enjeux et aux risques qui ne relèvent pas du champ de la sécurité. Les RSSI doivent encourager l’implication et la participation de tous en ce qui concerne la sécurité, tout en se positionnant en tant que responsables œuvrant dans l’intérêt de l’entreprise pour tout ce qui n’est pas du ressort de la sécurité. Au bout du compte, outre leur rôle de facto de spécialistes des risques liés à la sécurité de l’information parmi tous les autres risques métier défendus par la direction, les RSSI doivent se positionner comme fins connaisseurs des fonctions métier. En conditions optimales, l’entreprise peut ainsi contenir les risques les plus insidieux à des niveaux acceptables et devenir un acteur de référence qui donne priorité à son cœur de métier. Dans le cas contraire, l’entreprise sera prise de court et le RSSI échouera dans sa mission première, celle de coordonner les activités du service de sécurité et de l’entreprise dans son ensemble.




Voir les articles précédents

    

Voir les articles suivants