La sécurité est l’affaire de tous

La sécurité n’est plus seulement l’affaire de spécialistes. Les responsables de la sécurité informatiques sont appelés à faire preuve de pédagogie pour développer une culture de la sécurité en phase avec les objectifs de l’entreprise.

La pression sur les RSSI s’accentue. 

Selon un rapport du Forum économique mondial, paru en janvier 2019, les cyberattaques sont devenues la cinquième menace mondiale en termes de probabilité et la septième menace en termes d’impact. La presse se fait régulièrement l’écho des nombreuses cyberattaques et de leurs conséquences. Aucune entreprise ne peut faire l’impasse sur la sécurité sans hypothéquer gravement son avenir et ces dernières misent sur les compétences de leurs responsables de la sécurité informatiques (RSSI) pour parer aux cyberattaques. Sa tâche est d’autant plus compliquée qu’il doit contrer des menaces plus nombreuses et plus sophistiquées et dans le même temps faire face à une pénurie de compétences dans le domaine. C’est ce qu’une étude Gartner a confirmé, indiquant que 61 % des organisations avaient des difficultés à embaucher des professionnels de la sécurité.

Le rôle du RSSI va au-delà de la technologie.  

Souvent défini comme un technologue, le RSSI voit son rôle évoluer. Il ne peut pas se permettre de rester dans sa tour d’ivoire car, pour être efficace, la sécurité doit infuser dans toute l’entreprise. Le RSSI doit être à même de concilier les impératifs de sécurité avec le besoin d’agilité. Il ne peut pas imposer des contraintes qui freinent les innovations.

Aujourd’hui, les entreprises modernes produisent un grand nombre de logiciels qui supportent les services et les nouveaux usages. Si la sécurité était auparavant davantage centrée sur les infrastructures IT, elle exige désormais de se concentrer sur les logiciels tout au long de leur cycle de vie sous peine de devoir corriger à posteriori les vulnérabilités potentielles.

Les équipes de sécurité ont également besoin de compétences et d’états d’esprit différents pour réussir dans de nouveaux domaines. Les RSSI les plus performants reconnaissent que la sécurité d’aujourd’hui va bien au-delà de la technologie.

Trois comportements clés qui doivent guider les actions des RSSI :

  1. L’anticipation. Les risques et les attaques évoluent constamment. Le RSSI doit pouvoir garder une longueur d’avance en cherchant à prévenir les attaques et à en limiter leur portée. Il doit se tenir informé sur l’état de l’art de la cybersécurité et sur les exigences réglementaires.
  2. La collaboration. Pour être efficace la sécurité repose sur un travail d’équipe qui va bien au-delà des équipes de sécurité et concerne toute l’entreprise.
  3. La rapidité de décision. Les attaques se propagent rapidement et les dégâts croissent en conséquence. En matière de risques le délai de réaction n’est pas acceptable. Le RSSI doit développer son influence afin de pouvoir intervenir à tout niveau de la chaine hiérarchique de l’entreprise et s’assurer de l’exécution immédiate des décisions.

Ambassadeurs de la sécurité. Pour être appliquées et efficaces, les règles de sécurité doivent être connues, comprises et alignées avec la stratégie de l’entreprise. Par exemple, chez Netflix – Jason Chan VP, sécurité du cloud pour la plateforme de vidéo à la demande, s’attache à donner de la visibilité aux actions de sécurité en faisant en sorte que la communication soit mieux ciblée et ne s’embarrasse plus de détails techniques inutiles. Les politiques de sécurités sont ainsi mieux comprises par les parties prenantes. Il a également constaté qu’en donnant aux équipes sécurité le sentiment de participer à la stratégie de l’entreprise avec une bonne compréhension du contexte commercial, elles sont mieux enclines à prendre des décisions éclairées.

A l’image de Netflix, les RSSI doivent donc évoluer pour être capable de répondre aux besoins liés à la sécurité et à la demande grandissante d’agilité. Leur rôle ne peut plus s’arrêter à celui d’ingénieur et doit s’ouvrir à un plus grand champ de compétences. Cela leur permettra non seulement d’anticiper les problèmes, mais aussi de mieux collaborer au sein de leur pôle et avec de nouveaux collaborateurs, pour améliorer la prise de décision.  

La sécurité est l’affaire de tous
La sécurité est l’affaire de tous

La pression sur les RSSI s’accentue.  Selon un rapport du Forum économique mondial , paru en janvier 2019, les cyberattaques sont devenues la cinquième menace mondiale en termes de probabilité et la septième menace en termes d’impact. La presse...