CSO et télétravail : un rôle de l'ombre qui devient essentiel
Le rôle du CSO, bien qu'étant un poste historiquement à hautes responsabilités, a pourtant évolué vers un métier d'une plus grande envergure. En effet, les conseils d'administration se rendent désormais compte de la nécessité de veiller à ce que les CSO et les DSI soient représentés, en faisant du domaine de la sécurité une priorité absolue. Entre évangélisation et sécurisation de l'entreprise, voici un tour d'horizon.
Si le chantier du télétravail avait déjà été mis en place par de nombreuses entreprises, celui-ci était bien souvent disponible seulement de manière ponctuelle pour les collaborateurs. Depuis le début de la pandémie de la Covid-19, le travail à distance s’est imposé, amenant les entreprises à repenser toute leur infrastructure IT et surtout à mettre l’accent sur la sécurité de cette dernière. Dans ce contexte, le chief security officer (CSO) doit assurer une mission critique : sécuriser le périmètre et le flux de données, accessibles à distance par l'ensemble du personnel via divers dispositifs et réseaux professionnels et parfois personnels.
Éduquer les collaborateurs et des partenaires
La dynamique de travail actuelle est très différente de ce qu'elle était il y a quelques mois. Selon une étude Malakoff Humanis de 2020, le télétravail concerne dans le privé uniquement, 30% des cadres sont concernés par le télétravail régulier ou occasionnel. Le télétravail se révèle dans l’étude plus pertinent pour les fonctions de cadres et de dirigeants qui font un usage intensif des outils numériques. Pour évaluer l'efficacité du programme de sécurité, il est essentiel de considérer que ce dernier est lié à la capacité du CSO à influencer l'organisation. En effet, la capacité d'exécution du responsable de la sécurité dépend en grande partie de la structure organisationnelle.
Dans ce contexte, le taux des menaces des cyberattaques est bien plus élevé. Les chiffres fournis par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) le confirment : 104 attaques ont été répertoriées depuis le début de l’année, soit trois fois plus d’attaques que ces trois dernières années. Elles passent de plus en plus par le matériel utilisé en télétravail or, une étude SFAM[1] révèle que seulement 24% des Français sont équipés par leur entreprise d’un smartphone et d’un ordinateur pour télé-travailler. Le nombre de salariés utilisant leur propre matériel met en avant les menaces et défis rencontrés en matière de protection des collaborateurs et des actifs informatiques. A charge donc à leur organisation, de leur permettre de travailler de n’importe où en leur offrant la meilleure expérience possible et afin qu’ils puissent travailler en toute sécurité.
En effet, le passage au travail à distance a amplifié les risques et a mis en évidence les lacunes en matière de sécurité, qui ne peuvent plus être différées ou oubliées.
Les leçons tirées de “la première vague” a accéléré la prise de décision sur les priorités en matière de cybersécurité.
Le rôle du CSO évolue donc avec la crise, idem pour les DSI et les équipes informatiques et de sécurité, tous concernés par les enjeux de gestion de risques et de cybersécurité de l’entreprise. Impliquer l’ensemble des parties prenantes permet la digitalisation de l’organisation en toute sécurité tant pour elle-même que pour ses clients, se positionnant en catalyseur du changement.
Le CSO, générateur de nouvelles opportunités business
La crise mondiale a permis à de nombreux CSO de travailler plus étroitement avec le CEO et les équipes de direction sur des questions stratégiques de sécurité. En effet, une enquête récente menée par HMG Strategy auprès de plus de 150 CISO[LL1] , CIO et autres responsables technologiques, révèle que 58% des responsables IT se concentrent désormais davantage sur la croissance et la réinvention de l'entreprise.
Plusieurs leaders en matière de technologie, incluant les CSO, adoptent les technologies du cloud pour accélérer leur digitalisation et établir des priorités en matière de sécurité. Impliquer l’ensemble des parties prenantes de l’organisation - direction, partenaires, clients et collaborateurs - contribue à optimiser la stratégie de sécurité et préparer l’après-crise. En effet, il n'y a jamais eu de meilleur moment pour repenser son modèle qu'en temps de crise de telle ampleur. Ainsi, le CSO pourra mieux saisir les différents enjeux métiers et identifier les opportunités à explorer avec les partenaires. Il s'agit d'approfondir la communication à tous les niveaux et de fournir des retours en amont sur les produits et les aspects techniques afin de mettre en place des solutions fiables, sûres, adaptées et applicables.
Le deuxième volet d'acquisition est simplement l'écoute. L'écoute des clients et des partenaires et la façon dont ils peuvent être soutenus. Comment aider à la transition numérique des clients en télétravail en toute sécurité ? Quelles autres compétences et quels outils métiers peuvent être renforcés pour accélérer la prise de décision des clients ? La position d'expert et de partenaire doit primer sur le statut de fournisseur pour approfondir les relations et consolider les partenariats.
Enfin, l'ampleur, la vitesse et la portée des menaces auxquelles toute organisation est confrontée sont sans précédent. Aucune entreprise dans le monde n'est à l'abri de nouvelles menaces, ce qui a donné lieu à de nouvelles façons d'adapter le suivi des menaces. Aussi, les CSO et DSI ont pris conscience de l'importance de la résilience tant physique que de l'écosystème, sensibilisant tous les collaborateurs à l'importance de la résilience en tant que compétence essentielle. Au lieu de se demander "Sommes-nous en sécurité ?” Il est primordial de se concentrer sur la question "Sommes-nous protégés ?", qui pousse à un ensemble de contrôles sur plusieurs niveaux et qui s'appuient sur la résilience de chacun des collaborateurs.
Références :
- 1* Article de Oren Yunger, paru le 11/02/2020 dans Help Net Security « Cybersecurity is a board level issue: 3 CISOs tell why »
- [1] Etude IPSOS pour SFAM, réalisée le 12 mars 2020, sur un échantillon de 800 personnes représentatif de la population française.