Les 8 priorités stratégiques pour un nouveau RSSI

0

C’est le moins qu’on puisse dire : le rôle du RSSI n’est pas toujours simple. Il en résulte un mandat d’une durée plutôt courte, généralement de deux à quatre ans. Lorsqu’on leur demande pourquoi ils ont quitté leur précédent poste, les RSSI citent pour principales raisons une culture d’entreprise qui ne met pas suffisamment l’accent sur la sécurité (36%), l’incapacité à obtenir de la visibilité de la part du management (34%) et des budgets et ressources trop limités (34%). Bien sûr, la fin d’un contrat est également une raison souvent citée du départ d’un RSSI.

Avant d’évaluer les nouvelles opportunités de postes, et d’éliminer celles qui souffrent des carences susmentionnées, les nouveaux RSSI doivent mettre en place un socle qui leur permettra de démarrer leur prochain job sur les chapeaux de roue et de réussir dans leur mission.

Les huit recommandations suivantes s’inscrivent dans cette optique :

1.   Cartographier la surface d’attaque

La transformation numérique s’accompagne de tendances technologiques (le cloud, l’Internet des objets, la mobilité des utilisateurs, etc.) qui ont estompé le périmètre réseau traditionnel, exposant ainsi les environnements d’entreprise à des risques non anticipés.

La surface d’attaque, plus large et dynamique, est aussi plus complexe à évaluer par rapport aux environnements informatiques traditionnels dont les frontières sont statiques et fiables. Les environnements multicloud sont des vecteurs de complexité et de cloisonnement pour la sécurité. Les objets connectés viennent gonfler le rang des terminaux d’entreprise, mais les outils traditionnels de sécurité des terminaux ne peuvent les protéger. Le DevOps est à l’origine de charges de travail mobiles et temps-réel qui échappent aux fonctions de sécurité qui ne sont pas intégrées au cœur des piles applicatives. Les utilisateurs mobiles font fluctuer le périmètre géographique à sécuriser, ce qui freine l’application centralisée des règles de sécurité. Enfin, le Shadow IT entraîne une activité souterraine non détectée par les équipes de sécurité.

Face à ces tendances, la première mission pour un nouveau RSSI est d’identifier la surface d’attaque dans sa globalité.

En clair, vous ne pouvez protéger que ce qui est connu et qui demande à être protégé.

2.  Comprendre les exigences liées à la conformité

Connaître toutes les normes de sécurité auxquelles une organisation doit se conformer est aussi important que de connaître ses vulnérabilités. Les obligations en matière de conformité sont issues de normes sectorielles telles que le PCI-DSS (Payment Card Industry Data Security Standard) ou de réglementations gouvernementales telles que HIPAA (Health Insurance Portability and Accountability Act) et SOX (Sarbanes-Oxley Act) aux États-Unis, ou le RGPD en Europe. Elles peuvent également découler de frameworks de sécurité qui offrent de bonnes pratiques et des modèles de processus, comme le NIST SP 800 Series (National Institute of Standards and Technologies SP 800 Series), le COBIT (Control Objectives for Information and Related Technologies), ou encore ISO 27001.

Face aux multiples exigences de conformité et à un management qui s’attend à ce que les RSSI respectent ces exigences et leur assure un reporting sur le statut de conformité, les nouveaux RSSI doivent étudier rapidement ce qui se passe sur le terrain et identifier les éléments devant être suivis et notifiés via ce reporting. L’arsenal d’audit et de conformité d’une organisation varie selon son secteur d’activité, son envergure géographique et les normes de sécurité adoptées. De plus, face à un management peu féru du volet technique de la cybersécurité, le RSSI fraîchement nommé doit pouvoir communiquer de manière compréhensible sur la thématique de la conformité.

En clair, la conformité a tout intérêt à être considérée en tant que levier métier stratégique. Au risque, dans le cas contraire, de contrecarrer la croissance.

3.   Identifier ce qui est connu et ce qui ne l’est pas

Les menaces évoluent selon des axes qui ne sont pas toujours prévisibles. La cybercriminalité se banalise avec l’augmentation du Ransomware-as-a-Service et du Malware-as-a-Service. Les botnets ciblant les appareils connectés en sont déjà à des versions avancées et ont gagné en intelligence pour réaliser des exploits sophistiqués, contourner les outils de sécurité en place et s’adapter rapidement.

Ces changements, en matière de menaces, se retrouvent dans le nombre d’exploits détectés par entreprise, ce chiffre ayant bondi de 82% au cours du quatrième trimestre 2017 par rapport au trimestre précédent. D’autre part, la part de nouveaux exploits, auparavant inconnus, a progressé de 11% au premier trimestre 2018, par rapport au trimestre précédent.

La prévention et la détection de ces menaces exigent une protection évoluée contre les menaces et la possibilité de les identifier proactivement, avant qu’elles n’exploitent les vulnérabilités. Selon une récente étude de Forrester, plus des trois-quarts des RSSI disposant d’une veille sur les menaces n’ont pas été victime d’un piratage.

En clair, une sandbox intégrée et une veille en temps-réel sur les menaces, partagée entre les différents modules de sécurité, s’imposent pour juguler les menaces évoluées.

4.   Comprendre l’appétence de votre organisation au risque

Chaque organisation présente une relation au risque qui lui est propre. Il s’agit de comprendre le niveau de risque et le type de risque que l’entreprise qui vous a recruté en tant que RSSI est susceptible d’accepter. Cette visibilité permet de définir vos priorités et de hiérarchiser les projets de sécurité à mettre en place. Au-delà des dirigeants de l’entreprise, ce sont également les managers des départements métier qui connaissent l’appétence de l’entreprise pour le risque. Cette recherche d’information auprès d’eux est aussi l’opportunité de les sensibiliser à l’importance de la cybersécurité.

En clair, l’appétence d’une entreprise au risque détermine ses investissements en sécurité et son approche des menaces.

5.  Soyez un fin connaisseur de votre rôle et nouez des relations pertinentes

Les relations sont essentielles pour tous les dirigeants, et notamment pour le RSSI. Les nouveaux RSSI doivent nouer des liens avec les dirigeants, les managers et les différents profils des équipes d’exploitation réseau et de la sécurité.

L’étendue et la nature de ces relations sont fonctions du rôle assumé par le RSSI. Deloitte perçoit ainsi quatre rôles distincts pour le RSSI.

  • Un technophile qui conçoit et supervise le programme, l’équipe et l’infrastructure de sécurité
  • Un gardien qui assure les tâches de surveillance et de mesure, et renseigne les profils métier sur l’efficacité du programme de sécurité
  • Un stratège qui aligne les processus et les investissements de sécurité sur les stratégies et priorités de son entreprise
  • Un conseiller qui pilote le changement nécessaire en matière de gestion des risques, face à un univers de menaces qui évolue tout le temps

La nature de ces relations, et la nature du poste de RSSI en lui-même, évoluent rapidement alors que les organisations sont confrontées au risque d’un incident de sécurité majeur. Le rattachement hiérarchique évolue également alors que ce rôle devient plus stratégique et présente de multiples facettes. En réalité, un RSSI qui rencontre le succès voit son rôle évoluer de celui d’un cadre fonctionnel vers celui de facilitateur de métiers.

En clair, les RSSI actuels doivent être des experts en cyber technologies et menaces, mais aussi parler un langage business.

6.   Structurez votre équipe et renforcez-la

L’ensemble des éléments susmentionnés vous informe sur comment structurer votre équipe actuelle, ainsi que sur les compétences que vous devez rechercher lors de nouveaux recrutements. Cependant, le recrutement et la fidélisation des talents sont des défis qui devraient s’accentuer dans l’avenir. Selon une étude récente, ce ne sont pas moins de 3,5 millions de postes liés à la cybersécurité qui seront vacants à l’horizon 2021, contre 1 million en 2017. Cette pénurie toujours plus importante est susceptible de peser lourdement sur les entreprises.

Un nouveau RSSI doit s’attacher à développer un pool de talents qui apportent les bonnes compétences et réussissent dans le cadre de la culture corporate. Chaque étape dans le processus de recrutement exige une attention particulière, de la rédaction efficace d’une description de poste, à la sélection et aux entretiens avec les candidats, et jusqu’au recrutement et à l’accueil des recrues.

De nombreuses entreprises, dans l’optique d’optimiser leurs investissements en cybersécurité, font appel à des fournisseurs de services de sécurité managés, pour compléter leur équipe en interne, voire leur déléguer la totalité des tâches de sécurité. Faire appel à une expertise éprouvée pour pallier la pénurie de compétences, documenter la conformité ou déployer une nouvelle étape du programme de sécurité – et ce, sans avoir à lutter pour attirer des talents si convoités – est une option à laquelle nombre d’organisations adhèrent.

En clair, il est essentiel de disposer des talents humains pertinents pour déployer votre stratégie de sécurité, et plusieurs options s’offrent à vous pour y parvenir.

7. Pensez stratégique pour vos investissements technologiques

Les environnements corporate IT actuels sont constitués de ressources sur site et/ou de services fournis à partir du cloud. Ces technologies sont souvent déployées de manière cloisonnée et ne communiquent pas entre elles. Elles n’offrent pas de visibilité consolidée de la sécurité sur l’ensemble de l’entreprise, ce qui freine la prise en charge coordonnée des menaces.

L’architecture de sécurité doit être flexible compte tenu du caractère dynamique des menaces, ainsi que de l’environnement IT et des orientations métier de votre entreprise. L’approche d’une Security Fabric permet de déployer un ensemble homogène d’outils de sécurité dans les environnements sur site et cloud, tandis que le niveau de sécurité d’une entreprise peut être évalué à tout moment via une interface unifiée.

De plus, votre architecture de sécurité doit favoriser une intégration transparente entre les différentes composantes de votre sécurité, afin d’automatiser de nombreux processus et workflows manuels et donc de permettre aux ressources de sécurité de se recentrer sur les besoins métiers critiques. Le partage d’informations de veille est assuré en temps réel entre les différentes plateformes de sécurité, pour accélérer la prise en charge des menaces avancées. Bien sûr, l’automatisation simplifie également grandement la mise en conformité et l’élaboration des documents associés, la préparation d’audits, l’analyse des tendances et le reporting.

En clair, le cloisonnement des technologies de sécurité est une réalité historique. Mais il s’agit désormais de lever ces barrières pour favoriser l’efficacité et relever le niveau général de sécurité.

8. Suivre, mesurer et communiquer les résultats

Une communication efficace des résultats est essentielle aux évolutions de carrière, ce qui est encore plus vrai dans le cas du RSSI. Les piratages de données propulsent les entreprises victimes à la une de nombreux médias, mais on ne parle jamais de celles qui ont su neutraliser une menace majeure. Raison de plus pour relayer une telle réussite en interne. Parallèlement, les difficultés à prendre en charge les menaces pour cause de ressources insuffisantes doivent être signalées au management, ainsi que l’impact sur le niveau de sécurité.

La première étape pour suivre, mesurer et communiquer les résultats est d’adopter des indicateurs de performances (Key Performance Indicators ou KPI) et des indicateurs de risques (Key Risk Indicators – KRI). Ces derniers doivent être conçus conjointement entre les équipes de sécurité et les autres métiers de l’entreprise. Les dirigeants sont, bien sûr, invités à y participer.

La conformité aux règles de gouvernance et de gestion joue un rôle clé dans la détermination des KPI et KRI. Le RGPD s’impose à toute entreprise traitant des données associées aux citoyens de l’Union Européenne. De son côté, le PCI DSS impose des responsabilités pour toute activité associée à des transactions électroniques. Et il en est de même avec bien d’autres réglementations officielles ou sectorielles.

De manière similaire, l’adoption de normes de sécurité comme le framework NIST 800 SP ou ISO 27001 permet de s’assurer que les entreprises disposent d’une liste codifiée de bonnes pratiques qui s’appliquent aux processus et workflows de sécurité, et même à la conception de l’architecture de sécurité. Sur ce sujet, les RSSI doivent disposer de mécanismes pertinents en matière de suivi, de mesure et de reporting, pour ainsi offrir une visibilité et un contrôle transparents sur l’ensemble de la surface d’attaque. L’étroite intégration de ces mécanismes favorise l’automatisation et une visibilité en temps réel au cœur des statuts et processus de sécurité, améliorant ainsi le niveau de sécurité et libérant les équipes réseau et de sécurité pour qu’elles se recentrent sur des projets plus stratégiques.

En clair, la mesure et la notification du niveau de sécurité de votre entreprise compte tenu de sa tolérance au risque, des objectifs métiers et de la conformité aux réglementations et aux normes (sectorielles, officielles et de sécurité) sont des facteurs clés de succès.

Démarrer rapidement et finir en toute sécurité

Aspirer au rôle de RSSI au sein d’une organisation s’accompagne d’un réel défi : votre environnement va évoluer très rapidement, au niveau de vos responsabilités mais aussi de la nature et du volume des menaces.

Savoir démarrer rapidement est essentiel pour tout dirigeant, et encore plus pour un RSSI. Mais si un RSSI, lors de sa prise de poste, s’oriente davantage vers de la tactique que vers de la stratégie, le risque d’échec devient important. Le rôle du RSSI constitue une opportunité formidable de s’impliquer dans un métier stimulant, gratifiant et absolument essentiel. En optant pour une approche pertinente, vous êtes sur les rails du succès.

Share.

About Author

Directeur Technique chez Fortinet depuis 2005, est en charge des aspects techniques avant ventes pour la France et l'Afrique du Nord. Titulaire d’un master en Informatique et Telecom et après quelques années au service des contre-mesures au sein de la marine nationale (DPSD), il oriente sa carrière vers l’IT et prend la responsabilité du support chez Altis Informatique dans les années 90. Il gère ensuite l'avant-vente et le consulting de l'entité de gouvernance des systèmes d'information chez ARCHE Communications. En 2000, il est co-fondateur et directeur technique du premier ASP français dans le domaine de la sécurité : monDSI.com qui prendra des parts de marché significatives dans le domaine avant d'être intégré au groupe RISC.

Leave A Reply