Une roadmap RSSI : les 90 premiers jours
Repartez avec un plan d'action pour renforcer votre programme de sécurité de l'information.
Si vous êtes tombé sur cet article, c’est peut-être que vous venez de décrocher une importante promotion au poste de RSSI ou vous envisagez de le devenir prochainement. Ou alors vous êtes peut-être déjà responsable de la sécurité depuis un certain temps et vous cherchez de nouvelles idées. Quelle que soit la raison qui vous ait amené ici, vous repartirez avec un plan d'action pour renforcer votre programme de sécurité de l'information.
Un RSSI est avant tout un défenseur des bonnes pratiques de sécurité de l'information au sein de l'entreprise. Dit comme cela, ça semble simple, mais il y a énormément de responsabilités et de considérations qui entrent en jeu dans un programme complet de sécurité informatique. Celles-ci vont bien au-delà des simples contrôles techniques. On pourrait énuméré les nombreux sous-domaines de la cybersécurité et leurs composants clés, mais il est beaucoup plus parlant de regarder la carte suivante:
Il y a beaucoup de choses dans ce graphique, aussi allons-nous le décomposer. Pour l'essentiel, on voit que la plupart des éléments de la cybersécurité peuvent être regroupés dans les domaines plus larges suivants : sécurité physique, gouvernance, évaluation des risques, gestion des risques d'entreprise, renseignement sur les menaces, architecture de sécurité, formation des utilisateurs, opérations de sécurité.
Chacun a ses propres pratiques et considérations qui deviennent plus granulaires. D'après le graphique ci-dessus, il est clair qu'il y a de nombreux éléments à prendre en compte pour un programme complet de sécurité. En tant que RSSI, vous devez comprendre l'objectif de chaque responsabilité ou contrôle afin de pouvoir évaluer efficacement le coût de mise en œuvre d'un programme par rapport au risque qu'il est censé atténuer.
Cela nous amène à l'aspect le plus négligé du rôle de RSSI : sa responsabilité envers l'entreprise et ses bénéfices. En tant que cadre supérieur, le RSSI a un siège à la table où sont prises les décisions commerciales les plus importantes. Dans cette position, vous devez être le médiateur entre le profit et le risque. À un moment donné, des contrôles ou des pratiques de sécurité supplémentaires peuvent s'avérer prohibitifs en termes de coût ou de productivité, ce qui peut avoir un impact négatif sur l'entreprise. Vous devez être capable de reconnaître quand votre entreprise a besoin de se développer dans un domaine de la sécurité, et vous devez également être capable de communiquer efficacement vos décisions aux autres cadres et au conseil d'administration.
Avec toutes ces responsabilités, il peut être difficile de savoir par où commencer. Pour vous aider à circonscrire les choses et à orienter vos actions futures, vous devez vous concentrer sur trois points principaux au cours de vos 90 premiers jours. Tout d'abord, vous devez comprendre les autres dirigeants de votre entreprise, leur sensibilité et leur appétit pour la sécurité. Deuxièmement, vous devez prévoir d'instaurer une culture de la sécurité au sein de votre organisation. Enfin, vous devez bien sûr évaluer l'aspect technique du programme actuel de sécurité informatique de votre entreprise. Une fois tous ces points couverts, vous devriez être prêt à aborder des changements positifs importants pour votre entreprise.
La relation entre la direction et la sécurité de l'information
Les solutions et programmes de sécurité de l'information doivent être correctement gérés et mis en œuvre et, à cette fin, vous devez être en mesure de communiquer efficacement les besoins de sécurité de l'entreprise à la direction. Les personnes qui n'ont pas de formation en sécurité de l'information peuvent avoir des idées très différentes à ce sujet. Les dirigeants d'entreprise ne font pas exception. L'une des premières choses que vous devez faire en tant que RSSI est d'évaluer les préoccupations et les priorités initiales de votre conseil d'administration.
Au cours du processus d'entretien pour devenir RSSI, vous aurez probablement déjà une assez bonne idée de la sensibilité des dirigeants de votre entreprise aux risques liés à la sécurité de l'information. Il y a de fortes chances qu'ils soient conscients des grandes menaces comme les ransomwares, mais sont-ils préoccupés par d'autres sujets comme le développement de logiciels sécurisés ou les risques liés aux tiers ? Les ransomwares représentent clairement un risque financier immédiat pour une entreprise, mais des éléments tels que la perception de la marque, les lois/réglementations et la perte de propriété intellectuelle sont également susceptibles d'être affectés par divers types de cybermenaces. Comprendre les préoccupations de votre entreprise peut aider à indiquer comment elle prioriserait actuellement l'investissement dans la sécurité de l'information.
Il est important de connaître les principales priorités de vos dirigeants en matière de protection des données, et ce pour plusieurs raisons. Premièrement, cela peut vous aider à mieux comprendre les informations les plus précieuses de votre entreprise et le niveau de confort actuel quant à leur protection. Si vous êtes nouveau dans votre entreprise, vous n'avez peut-être pas encore une vision claire des données résidant dans votre organisation et des processus actuels de protection de ces données.
L'autre raison pour laquelle il est important de connaître les priorités de vos dirigeants est de pouvoir en tenir compte lorsque vous faites pression pour obtenir des investissements dans la sécurité. Par exemple, vous pouvez constater que votre risque dans un domaine tel que la sécurité des applications ne correspond pas à l'opinion des autres dirigeants quant à l'importance de l'améliorer en priorité. C'est alors que vous savez que vous devez consacrer plus de temps au changement de perspective.
En gardant tout cela à l'esprit, vous pouvez commencer à définir des actions à entreprendre dans les mois à venir. Pour savoir à quels risques pensent vos cadres, vous devriez poser périodiquement des questions telles que : "Quelles sont vos plus grandes craintes à l'heure actuelle en matière de cybersécurité ?" ou "Sur la base de ce que j'ai dit, que pensez-vous de la manière dont nous abordons le risque cybernétique dans X domaines ?" Avec un peu de chance, ces questions déboucheront sur des discussions plus larges au cours desquelles vous pourrez faire part de vos connaissances sur le paysage actuel des menaces et sur des risques supplémentaires qui ne sont peut-être pas encore pris en compte. Une fois que vous avez identifié les domaines sur lesquels vous devez insister davantage, vous devez acquérir les moyens de le faire en mettant en place des pipelines pour toutes sortes de mesures. Cela prendra un certain temps, mais des mesures perspicaces sont l'outil le plus efficace dont vous disposez pour communiquer les risques et les besoins aux responsables des autres secteurs d'activité. En tant que principal défenseur de la sécurité, vous devez être en mesure de démontrer clairement qu'il existe un besoin à satisfaire.
La relation entre l'entreprise et la sécurité de l'information
Un aspect souvent négligé de la sécurité de l'information est la relation générale qu'entretiennent les employés avec la sécurité. Tous les professionnels de la sécurité comprennent le rôle important que jouent les employés dans la protection de l'entreprise contre les failles et les erreurs qui peuvent entraîner une fuite d'informations. La relation d'un employé avec la sécurité peut réellement être décomposée en deux parties : la sensibilisation et l'unité.
Il existe plusieurs façons d'améliorer la sensibilisation générale aux questions de sécurité en fonction des différents rôles. La plupart des entreprises proposent une formation au hameçonnage afin de sensibiliser à la sécurité, car ce phénomène peut toucher n'importe qui, quel que soit son rôle. De nombreuses entreprises ont également mis en place des politiques de sécurité relatives à l'utilisation correcte des ordinateurs ; cependant, il est tout aussi important de disposer d'un moyen d'informer les employés de ces politiques. Les étiquettes automatiques telles que les en-têtes d'adresses électroniques externes et les étiquettes de classification des données sont d'excellents exemples de contrôles techniques qui aident les employés à réfléchir de manière plus critique aux informations concernées.
La sensibilisation est importante, mais une culture de sécurité d'entreprise réussie repose également sur le soutien de tous les groupes concernés. Si vous travaillez depuis longtemps dans le domaine de la sécurité informatique, vous avez probablement vos anecdotes où des individus, voire des départements entiers, ont une très mauvaise perception de l'équipe de sécurité. Dans de nombreuses situations, cela vient d'exemples passés où les contrôles de sécurité ont gravement affecté la productivité, ou peut-être le personnel de sécurité a-t-il interagi avec les employés d'une manière dévalorisante qui les a mis sur la défensive. Ces manières inconsidérées d'appliquer un programme de sécurité peuvent avoir un impact sur son efficacité.
Un autre exemple de l'efficacité d'un programme de sécurité est la formation au hameçonnage. Dans la pratique, il peut être très difficile d'être efficace pour améliorer ces compétences au fil du temps. Cela s'explique en partie par le manque d'engagement des employés qui reçoivent la formation. Même s'il s'agit de personnel de sécurité, il existe des rockstars du phishing qui échouent rarement, voire jamais, à un test de phishing. Qu'est-ce qui les distingue ? La réponse est qu'ils sont probablement plus enthousiastes à propos de la sécurité ou qu'ils prennent la formation au phishing plus au sérieux. Tout le monde n'est pas intrinsèquement intéressé par la sécurité de l'information. Il est donc primordial de trouver des moyens créatifs de rendre la sécurité, sinon passionnante, au moins intéressante dans d'autres départements pour construire une culture de la sécurité réussie.
En fin de compte, le département de la sécurité informatique doit mettre en œuvre des contrôles et des programmes qui soient pour le bien de l'entreprise, qu'ils soient totalement soutenus ou non. Cependant, un peu de considération peut contribuer à améliorer les relations des employés avec la sécurité. Il y a quelques questions à retenir de tout cela que vous devriez examiner au sein de votre organisation :
● Quels programmes de sensibilisation à la sécurité avez-vous actuellement en place ?
● Dans quelle mesure ces programmes sont-ils efficaces pour réduire les risques dans ces domaines ?
● Dans quelle mesure vos employés connaissent-ils les politiques de sécurité ?
● Quels contrôles techniques pouvez-vous mettre en place qui permettraient aux employés de mieux prendre en compte les informations potentiellement sensibles ?
● Quelle est la perception générale qu'a l'entreprise de l'équipe de sécurité et des contrôles actuels que vous avez mis en place ?
● Existe-t-il des contrôles qui entravent gravement la productivité ?
En répondant à ces questions, vous devriez avoir identifié certains éléments que vous pouvez commencer à améliorer.
La maturité technique du programme de sécurité informatique
C'est en améliorant la maturité technique que les choses peuvent devenir les plus complexes. Comme vous avez pu le constater dans la "Carte des domaines de cybersécurité", il existe de nombreux domaines qui traitent de différents types de risques. Aucun domaine n'est nécessairement plus important qu'un autre. Néanmoins, comprendre la maturité de votre organisation en matière de gestion des risques dans chacun de ces domaines est une première étape importante pour le RSSI.
Il peut être difficile de déterminer par où commencer pour améliorer la sécurité technique de votre entreprise, mais il existe des frameworks tels que le NIST Cybersecurity Framework ou CIS Controls qui peuvent vous guider. Les frameworks de cybersécurité ont leurs propres avantages et inconvénients, et vous devez donc être attentif à la manière dont ils orientent vos changements.
Le plus grand avantage de l'utilisation d'un framework de cybersécurité est qu'il permet de s'assurer que rien n'est négligé. Ils fournissent un guide holistique qui, s'il est suivi du début à la fin, devrait produire un programme de sécurité de l'information très efficace. La hiérarchisation des priorités est généralement intégrée à ces cadres, ce qui permet de décider plus facilement sur quoi se concentrer. Cependant, il existe certains pièges lorsque vous suivez assidûment un framework de cybersécurité.
Le premier écueil est la mentalité consistant à "cocher des cases". Il existe d'innombrables façons de mettre en œuvre un contrôle de sécurité, et elles ne sont PAS toutes aussi efficaces. De nombreux fournisseurs de logiciels de sécurité s'appuient sur cet état d'esprit qui consiste à colmater une brèche de sécurité le plus rapidement possible et à moindre coût. La mise en œuvre de contrôles sans tenir compte du risque résiduel, de la culture d'entreprise et de l'efficacité opérationnelle est une recette pour le désastre.
Le deuxième écueil des frameworks de cybersécurité est de traiter la sécurité comme une finalité plutôt que comme une entité évolutive. Au fil du temps, votre entreprise et la cybersécurité vont toutes deux évoluer. Les frameworks hiérarchisent les contrôles de manière relativement efficace, mais ils ne peuvent pas tenir compte des besoins de chaque organisation en matière de protection des données, qui changent ou régressent au fil du temps pour diverses raisons. Si vous ne tenez pas compte de ce contexte supplémentaire, vous risquez de consacrer du temps et des ressources à un contrôle alors que le risque cybernétique est bien plus important ailleurs. Il est donc important de faire périodiquement l'inventaire des cyber-risques individuels de votre entreprise, afin de toujours savoir où doivent se situer vos priorités.
La progression de la maturité technique de votre programme est l'aspect auquel vous consacrerez probablement le plus de temps en tant que RSSI. Cela s'explique par le nombre élevé de projets et de mesures à prendre, ainsi que par le temps nécessaire à la mise en œuvre de chacun d'entre eux. La première chose à faire est de développer votre connaissance des données que vous essayez de protéger et des contrôles actuels que vous avez mis en place pour les protéger. Une fois que vous aurez acquis cette connaissance, vous pourrez suivre un framework pour vous aider à guider votre plan, bien informé.
Conclusion
Nous espérons que vous ressortirez de cet article avec un sens plus aigü de l'orientation et de nouvelles idées intéressantes. Ce que vous devez retenir, c'est que la sécurité de l'information ne se résume pas à des contrôles techniques. Il faut un effort unifié dans toute l'entreprise pour assurer la sécurité des données. En tant que RSSI, il est important de comprendre et de “sentir” l'aspect commercial de votre rôle tout en défendant les projets qui sont les plus nécessaires. De votre succès dépend le succès de l'entreprise, et vice-versa. Avec une solide culture de la sécurité comme base, vous pouvez apporter de nombreux changements positifs au programme de sécurité informatique de votre entreprise.