La sécurité doit être l'affaire de tous
Le rôle de Directeur de la Sécurité des Activités ou Chief Business Security Officer (CBSO) connaît une profonde transformation.
En raison de la complexité croissante des cybermenaces, de la gestion de la sécurité des données et des événements géopolitiques, le poste de Directeur de la Sécurité des Activités ne se limite plus à la protection des intérêts de l'entreprise. Il requiert désormais une convergence de compétences en informatique, cybersécurité et conformité, ainsi qu’une compréhension approfondie des enjeux de l’organisation. De plus, il nécessite de se positionner comme un leader polyvalent et inspirant, capable de motiver tous les collaborateurs à accorder une attention particulière à la sécurité.
Adapter sa stratégie de sécurité
Le rôle du Directeur de la Sécurité des Activités est de soutenir le développement de l’entreprise tout en restant vigilant face aux menaces. Pour y parvenir, il doit adapter les pratiques de sécurité à la stratégie et à la vision de l’entreprise. La cybersécurité ne peut donc pas être traitée de manière isolée : elle doit être une partie intégrante de l’organisation. Cela permet non seulement d’assurer la protection des données et des clients, mais aussi de renforcer la présence et la marque de l’entreprise.
Il est également primordial que les enjeux de sécurité soient pris en compte dès la conception des produits et services. Cela implique de former régulièrement les développeurs et de s'assurer que toutes les réglementations relatives aux données soient respectées dans le monde entier. Cette approche favorise la confiance des salariés, des clients, des fournisseurs et des partenaires.
Garder toujours une longueur d'avance sur les menaces
Le Directeur de la Sécurité des Activités doit toujours anticiper les menaces en s’appuyant sur une équipe d'experts et un plan solide de continuité d’activité, conçu au-delà de l’organisation et incluant la collaboration avec des partenaires tiers. Il est essentiel de s’assurer que ces derniers respectent les mêmes processus de sécurité rigoureux que l’entreprise, car pour les clients, les interruptions d’activité sont intolérables.
Impliquer les collaborateurs
Les erreurs humaines, parmi les principales vulnérabilités dans le monde de la sécurité, sont exploitées par les cybercriminels qui ont souvent recours à des techniques d'ingénierie sociale, comme le phishing ou l'usurpation d'identité. Avec l’essor de l'IA générative, ces erreurs peuvent, en outre, révéler des vulnérabilités que les cybercriminels exploitent.
Face à ce contexte, il est crucial que tous les collaborateurs comprennent l’importance de la sécurité et ses impacts. Plutôt que de rester dans un discours général, il est plus efficace de montrer comment un problème de sécurité peut affecter directement leur emploi et leurs clients. Partager des cas concrets d’incidents permet d’illustrer les conséquences des défaillances humaines sur la sécurité. Organiser des formations interactives avec des jeux de rôles et des simulations, ou intégrer des sujets de sécurité dans les communications internes, peut aussi être utile pour sensibiliser et responsabiliser les salariés.
Enfin, il est impératif de mesurer régulièrement les performances de la sécurité. Une évaluation au quotidien des attaques manquées et des vulnérabilités potentielles permet d'élaborer des rapports hebdomadaires ou mensuels. Ces rapports doivent ensuite être transmis aux différents services pour les sensibiliser. Il faut également que les collaborateurs en prennent connaissance, lors de réunions ou via l’Intranet. Plus ils en savent, mieux ils seront préparés.
Le poste de Directeur de la Sécurité des Activités dépasse l’aspect technique et exige une formation continue pour rester au fait des tendances en cybersécurité. Les dirigeants, les salariés et les partenaires doivent aussi bénéficier d’une formation continue en la matière. L’objectif est de les préparer au mieux, sans instiller une peur irrationnelle : protéger les ressources et la marque d'une entreprise est la responsabilité de chacun.