L’évolution du rôle des RSSI, où comment gérer une crise lorsque vous n’êtes pas la cible d’une attaque

La mission traditionnellement dévolue au RSSI est de convaincre le PDG de l’entreprise de la nécessité de mettre en place des actions pour empêcher que des menaces n’impactent l’entreprise, d’assurer le suivi de ces menaces et de gérer les crises.

À la tête de la sécurité informatique, les RSSI supervisent le centre d’opérations de sécurité (Security Operations Center–SOC), les équipes de réponse aux incidents et les experts en investigations pour gérer les menaces. Mais aujourd’hui, nombre d’entre eux sont contraints de sortir de leur terrain de jeu habituel. Dans un contexte d’attaques mondiales, fortement médiatisées en Europe et au Royaume-Uni, la cybersécurité figure en tête des préoccupations des PDG et de leurs conseils d’administration. Cela signifie que le rôle du RSSI prend de plus en plus d’importance.

D’après une étude mondiale sur la gestion des risques menée par le groupe Aon en 2017, la cybercriminalité figure désormais dans le top 5 des dix principaux risques préoccupant les décideurs dans le monde, dépassant aux côtés du manque d’innovation, les difficultés à attirer ou retenir les talents, l’interruption d’activité, les risques/incertitudes politiques et la responsabilité civile. À chaque attaque de grande ampleur, le RSSI reçoit un coup de fil du PDG qui va l’interroger plus ou moins en ces termes : est-ce que nous courons un risque ? Devons-nous agir ? Le rôle du RSSI ne se limite clairement plus à informer le PDG que l’entreprise n’a pas encore été attaquée. En effet, les RSSI doivent étendre leur leadership et jouer un rôle actif dans la gestion du risque.

De nombreux RSSI confirment une mutation en profondeur de leur fonction.  

«Auparavant, nous devions défendre bec et ongles devant le PDG l’intérêt qu’il y avait à connaître les flux entrant et sortant de nos systèmes», explique Benoît Moreau, FSSI du ministère de l’éducation nationale et du ministère de l’enseignement supérieur et de la recherche. «Aujourd’hui, on attend de nous une fine perception de chacun des éléments de notre «écosystème d’informations», et des interactions qui l’animent, afin de parvenir à prédire, pratiquement en temps réel, les conséquences de n’importe quel événement. Nos systèmes ont subi une évolution darwinienne fulgurante, poussée par les nouvelles technologies et les nouveaux usages. Ils sont ainsi passés d’organismes mono-cellulaires indépendants et protégés à des organismes protéiformes complexes, au plus proche de la vie.»

Aujourd’hui, alors que le paysage des menaces externes évolue, les RSSI doivent répondre autrement à l’appel, inévitable, du PDG. Ils doivent avoir une bonne connaissance de la situation, être prêts à prendre des décisions sur-le-champ et communiquer sur la façon dont ils vont garantir le maintien du risque à un niveau acceptable. Benoît Moreau explique ainsi : «Le RSSI doit se doter des outils nécessaires pour avoir "conscience" de l’infrastructure de sécurité dans son ensemble, pour ressentir la survenue des problèmes, pour en détecter les symptômes. Il doit appréhender les faiblesses, les menaces et les risques pour la "santé" de l’entreprise. Il doit renforcer ses défenses, avoir les moyens de réaliser des analyses supplémentaires en cas de doute, d’inoculer ou de fournir d’autres traitements, voire de procéder à une amputation en cas de propagation d’agents mortels. Pour filer la métaphore médicale jusqu’au bout, il ne s’agit plus seulement pour le RSSI de déployer des globules blancs, mais d’être un esprit sain dans un corps sain, un organisme robuste protégé par un système immunitaire efficace.»

En tant que RSSI, qu’est-ce que cela implique d’adhérer à ce changement important ? Pour commencer, ils doivent disposer d’un accès instantané à autant d’informations que possible sur une attaque ou une campagne. Ces informations comprennent les cibles et les motivations de l’adversaire, ses outils, techniques et procédures, notamment ses tactiques et vulnérabilités susceptibles de faire courir un risque à l’entreprise, ainsi que les contre-mesures possibles.

La plupart des entreprises disposent déjà d’une grande part de ces informations, mais ces dernières sont disséminées entre différents services, dans de multiples flux de données sur les menaces externes, dans les couches de produits de sécurité, dans le SIEM qui stocke les journaux et les événements, et dans les cerveaux des analystes. Ce qu’il faut aux RSSI, c’est une source unique de données fiables : un référentiel centralisé pour toutes ces données qu’ils peuvent continuellement augmenter et enrichir de façon à ce qu’il soit contextualisé, pertinent et hiérarchisé. Armées d’une plate-forme permettant le stockage, la mise à jour et l’accès aux informations de veille sur les menaces, les équipes peuvent apprendre et partager des connaissances pour évaluer si une menace représente ou non un danger à court terme et déterminer les mesures appropriées. Mais des obstacles demeurent.

Traditionnellement, les équipes fonctionnent en vase clos, de façon cloisonnée, sans aucune possibilité de collaborer tout au long du processus d’analyse ou d’exécuter une réponse coordonnée le cas échéant. En travaillant sur des tâches parallèles, elles risquent de laisser passer des éléments communs cruciaux. Toutes les équipes doivent être en mesure de travailler ensemble dans un même environnement partagé pour favoriser une meilleure compréhension et une plus grande attention tout au long du processus d’analyse de la situation et d’intervention. Grâce à la visualisation et la documentation, elles peuvent rapidement repérer les données sur les menaces, les preuves et les mesures prises par les différents services de l’entreprise, mais aussi identifier les personnes chargées de l’enquête.

Forts de cette visibilité dans cet environnement collaboratif et de la capacité d’analyser la situation au fur et à mesure de leur avancée, les RSSI peuvent ainsi coordonner les équipes et les interventions. Un tableau complet fournit les renseignements dont ils ont besoin pour répondre avec plus d’assurance aux questions de leur PDG. Ils peuvent ainsi évaluer si l’entreprise est convenablement préparée pour résister à une attaque et en informer le PDG. Et si ce n’est pas le cas, ils peuvent orienter les mesures appropriées plus rapidement et assurer à leur direction que les mesures adéquates pour réduire le risque ont été prises.  

Les menaces massives mondiales sont un nouveau phénomène qui implique une nouvelle responsabilité venant s’ajouter aux tâches quotidiennes du RSSI. Dès l’instant où le RSSI prend connaissance de l’éventualité d’une nouvelle attaque, il doit être capable d’évaluer le risque, d’anticiper l’impact potentiel et de lancer le processus de gestion de crise. Lorsqu’une attaque est détectée, le RSSI doit être en mesure de répondre rapidement et de manière adéquate tout en assurant la continuité de l’activité de l’entreprise. Il ne suffit plus de protéger l’entreprise en cas d’attaque. Le RSSI doit savoir gérer une crise, même lorsqu’il ne ne fait pas l'objet d’une attaque.

 

RSSI

Annonces Google