Secu
Coup d’œil sur les grandes priorités des RSSI
Par La rédaction, publié le 17 mai 2023
Les RSSI sont confrontés à des écosystèmes de plus en plus complexes, avec des cyber-risques en constante augmentation. Pour garder le contrôle, il leur faut établir des priorités stratégiques. Retour sur les problématiques qui doivent figurer en tête de liste.
Par Guillaume Gamelin, Regional Vice-Président chez WithSecure
Garantir la sécurité du système d’information et de ses données de leur organisation demeure la première mission des RSSI (Responsables de la Sécurité des Systèmes d’Information). Une mission qui s’articule autour de plusieurs axes allant de la mise en musique des bonnes pratiques à la sensibilisation des utilisateurs en passant par l’analyse et le contrôle des risques, la veille technologique, etc. Autant de leviers qui nécessitent du RSSI de se montrer tout à la fois expert, conseiller, pédagogue, communicant et manager. Un cocktail complexe qui impose nécessairement de savoir établir des priorités stratégiques.
Avoir une stratégie à la fois descendante et ascendante
En théorie, les RSSI ont pour mission de concevoir les plans de cybersécurité de leur entreprise. En pratique, même les plans les mieux conçus peuvent être entravés par un manque de budget, une mise en application trop laxiste ou une surcharge d’information pour le reste du personnel. S’il reste seul dans sa tour d’ivoire à rédiger des politiques, des normes et des exigences, il s’éloignera des réalités de son entreprise.
Voilà pourquoi, en plus d’une stratégie descendante, une approche ascendante est également essentielle. Pour mieux se faire comprendre du reste de l’entreprise, le RSSI peut mobiliser des représentants dans tous les principaux services de l’entreprise. Ainsi, chaque unité pourra mieux comprendre les actifs, cerner les menaces potentielles, et appréhender les outils de protection.
En adoptant une telle approche, le RSSI peut mettre en place une coopération dynamique, et proposer des solutions pratiques et efficaces.
Ouvrir la voie à la réussite des collaborateurs
La plupart tentent d’être vigilants : lorsqu’ils sont bien reposés, ils repèrent efficacement les problèmes de cybersécurité. Pour autant, en fin de journée, il devient facile de baisser la garde. Pour lutter contre ce phénomène, quelles actions mener, au-delà de la simple formation au phishing ? Les RSSI parlent ici de « contrôles ». Plus ces contrôles sont automatisés et non-intrusifs, plus ils sont efficaces. Les technologies préventives peuvent s’avérer très utiles. Toutefois, avant de les déployer, les RSSI doivent évaluer l’impact de ces technologies sur le quotidien des salariés.
Une sécurité intégrée
Dans une organisation sécurisée « dès la conception », le travail des RSSI est grandement facilité. La cybersécurité est intégrée d’emblée dans les processus, les systèmes, les services et les méthodes de travail des collaborateurs. Toutes les activités de l’entreprise prennent en compte, dès le départ, l’aspect « sécurité ».
À LIRE AUSSI :
Dans ce type d’organisation, le collaborateur n’est pas le maillon faible de la sécurité : il bénéficie de compétences renforcées en cybersécurité et devient le meilleur atout de son entreprise. Dans chacune de leurs actions, les équipes adoptent le point de vue d’un hacker potentiel. Et lorsqu’elles sont contraintes d’accepter certains risques nécessaires, elles le font en ayant parfaitement cerné leur impact potentiel. Puis, elles réévaluent régulièrement ces risques.
Dans une organisation sécurisée « dès la conception », chaque unité s’approprie la cybersécurité et comprend qu’elle en est aussi responsable.
Une cybersécurité en synergie avec votre activité
La mission du RSSI est de veiller à ce que l’entreprise soit pérenne. Il veille à éviter toute faillite liée à un acte de cybercriminalité. Et pour démontrer aux autorités que tout est bien sécurisé, il cible les bonnes certifications et veille au respect des normes de conformité.
Face aux contraintes budgétaires, les RSSI peinent à obtenir les budgets dont ils ont besoin pour investir dans des solutions et certifications pourtant nécessaires.
C’est pourquoi il est essentiel de mettre en évidence les résultats commerciaux liés à ces investissements : ainsi, si les budgets ne sont pas débloqués, les cadres décisionnaires sauront quels résultats commerciaux sont en danger.
Apprendre à parler le langage du conseil d’administration et de l’équipe de direction
La technologie n’est qu’une partie de l’équation. Les RSSI doivent interpréter les besoins en cybersécurité de chaque service. Ils doivent aussi pouvoir présenter ces besoins budgétaires aux conseils d’administration et aux parties prenantes.
Pour ce faire, ils doivent apprendre à parler le langage du conseil d’administration et être capables de démontrer concrètement l’intérêt des mesures de cybersécurité, avec des données de mesures significatives. Et ainsi placer la cybersécurité dans le contexte plus large des objectifs commerciaux de l’entreprise.
Les conseils d’administration sont de plus en plus conscients du rôle central que joue la sécurité dans la gestion des risques et de la conformité. De plus, ses membres sont personnellement responsables de la gestion des risques. Si les investissements de sécurité ne sont pas en phase avec les menaces potentielles, le RSSI ne joue peut-être pas correctement son rôle de conseiller. Il doit démontrer que la sécurité est un catalyseur de chiffre d’affaires : ainsi, la sécurité peut cesser d’être perçue comme un simple poste de dépenses.
Le RSSI joue désormais un rôle central et doit mesurer en pleine conscience toute l’étendue de son pouvoir au sein d’une organisation. Il n’est plus uniquement celui que l’on appelle en cas de problème. Il doit s’imposer comme le pilier central d’une stratégie de cybersécurité décidé par son équipe, approuvé par la direction générale et mis en œuvre opérationnellement par l’ensemble des maillons composant l’organisation.
À LIRE AUSSI :