InfoSec : Qui est le RSSI du futur ?

0

Transformation numérique, nouvelles technologies, évolution des cadres législatifs et règlementaires… pour tenir le rythme, le rôle des RSSI et des équipes de sécurité informatique (InfoSec) doit évoluer. Dans les années à venir, les RSSI feront partie intégrante des comités exécutifs (Comex). Au fur et à mesure de cette transition, leurs anciennes responsabilités seront assumées par d’autres membres de leurs équipes et de nouvelles priorités émergeront.

Le RSSI d’aujourd’hui

Dans un contexte règlementaire en perpétuelle évolution et face à des menaces toujours plus mouvantes, la fonction RSSI s’est transformée ces dix dernières années. Parce qu’ils doivent posséder diverses compétences (maîtrise de la technique, management des équipes, analyse des risques liés à l’activité, etc.), les RSSI ont des parcours très variés. Militaires expérimentés en quête de reconversion ou responsables technique désireux de changer de secteur d’activité, aucun profil ne se ressemble.

Le type de RSSI le mieux adapté à un environnement donné dépendra grandement du modèle, des priorités et de la vision des rôles fonctionnels de l’entreprise. Prenons le cas d’un grand établissement de services financiers organisé en différentes structures opérationnelles. Une telle entreprise cherchera vraisemblablement un profil de « gestionnaire des risques » vu que ce dernier devra exercer ses fonctions de façon transversale pour cerner les risques dans toutes leurs dimensions. En revanche, dans des secteurs comme l’aérospatiale et la défense, très centrés sur l’ingénierie, le « technicien devenu cadre » sera sans doute le mieux placé en termes de crédibilité vis-à-vis des autres dirigeants.

Le RSSI de demain

La transformation numérique et l’évolution des cyber-risques font émerger de nouvelles priorités et responsabilités qui donnent une toute autre dimension à la fonction, quels que soient les parcours individuels. Désormais, le RSSI s’impose inéluctablement comme un élément stratégique des équipes dirigeantes, sur fond d’élargissement du champ de responsabilité des équipes InfoSec. Concrètement, les responsabilités qui incombaient au RSSI, de par son expérience professionnelle, devront être confiées à d’autres membres de son équipe.

Par exemple, un directeur marketing, anciennement dans les relations publiques, recrutera un responsable RP pour se concentrer sur ses fonctions de dirigeant. De même, le « technicien devenu cadre » devra désormais s’appuyer sur les autres membres de son équipe. Ces derniers auront la responsabilité de suivre les avancées en matière de sécurité et deviendront la source d’informations techniques la plus crédible. À mesure qu’ils se recentrent sur leurs fonctions de dirigeant et s’entourent de collaborateurs qualifiés, les RSSI devront se pencher sur cinq grandes priorités :

1 – Combler la pénurie de compétences en cybersécurité et accentuer le travail de sensibilisation

La capacité à résoudre ce problème grandissant et ô combien d’actualité posera les bases de toutes les missions d’un RSSI pour les années à venir. Face à une cybersécurité en perpétuelle évolution, le recrutement de nouveaux talents ne suffit pas. Il est également nécessaire de mettre en place des programmes de formation continue et de développement des compétences pour les équipes existantes. Par ailleurs, à l’heure où les pôles d’activité de l’entreprise migrent leurs données et leurs services dans le cloud, les RSSI doivent développer des programmes et des équipes chargés de sensibiliser toute l’entreprise aux questions de cybersécurité et d’hygiène numérique.

2 – Intégrer les législations et règlementations régionales à la stratégie de cybersécurité

Pour faire face à la complexité des lois sur la protection des données et le respect de la vie privée, les multinationales doivent développer des équipes stratégiques au niveau régional. Prenons le cas du RGPD. Compte tenu du nombre d’entreprises concernées dans le monde, ce règlement a une portée internationale. Pour ces entreprises, l’enjeu consiste donc à réunir des compétences capables d’aborder les problématiques réglementaires dans un contexte européen, sans pour autant perdre de vue les législations canadiennes et états-uniennes, par exemple.

3 – Adopter la philosophie DevOps

L’approche DevOps a pour objectif de lever les barrières techniques entre l’informatique, les développeurs et les équipes de sécurité. Elle repose sur l’automatisation des tâches de déploiement, de maintenance et de sécurité que ces équipes ont exécutées manuellement et séparément jusqu’à présent. Pour les RSSI et les équipes de sécurité, l’approche DevOps se traduit par une priorisation de la cybersécurité dès les prémisses de tout projet informatique.

Ainsi, les RSSI qui s’approprient ce concept et donnent aux DevOps une place prépondérante dans leur équipe opèreront en phase avec le reste de leur entreprise dans les années à venir.

4 – Sécuriser les appareils IoT des salariés et de l’entreprise

D’après une étude Gartner, le nombre d’objets connectés dans le monde devrait dépasser les 20 milliards d’ici 2020. Or, la prolifération de ces objets augmente d’autant la surface de risque. Les RSSI devront donc protéger les appareils IoT de l’entreprise, mais aussi les terminaux personnels qui accèdent aux réseaux. Souvent, ces appareils se connectent à des ordinateurs portables et téléphones mobiles d’entreprise dotés d’un droit d’accès au réseau. On peut donc raisonnablement supposer que la compromission d’un appareil personnel fera courir un risque au réseau de l’entreprise. D’où l’importance pour les RSSI prévoyants de réfléchir à un dispositif de défense contre les menaces associées et d’en confier la gestion à la personne la plus compétente.

5 – S’aligner sur les équipes produits et de sécurité physique

Bien qu’elles n’opèrent pas actuellement sous la responsabilité du RSSI, la créativité sans bornes des cybercriminels promet de rendre ces équipes de plus en plus interdépendantes. C’est pourquoi les RSSI doivent veiller à harmoniser leur action avec celle des responsables de ces fonctions. Objectif : garantir une cybersécurité cohérente à travers tous les domaines de l’entreprise.

Conclusion

À l’heure où le cyber-risque plane sur toutes les fonctions de l’entreprise, les RSSI et des équipes InfoSec occupent une place toujours plus prépondérante. Mais quelle que soit la direction que prennent leurs rôles, les RSSI devront toujours revenir à la même question : quelles priorités établir pour conjuguer sécurité et croissance de l’entreprise ?

About Author

Eric Antibi

Senior Manager, Systems Engineering chez Palo Alto Networks

Leave A Reply