Actualités Cyber

Le RSSI est souvent perçu comme un expert technique. Pourtant, son rôle implique aussi une certaine dose de management.

Dans ce contexte, l’un des gros challenges du RSSI est qu’il doit améliorer les processus de cybersécurité dans l’entreprise à partir de ressources financières et humaines qui sont le plus souvent limitées.

C’est ici que le lean management entre en scène : l’application de ses principes à la cybersécurité permet de rationaliser les processus et d’améliorer l’efficacité opérationnelle des équipes. Et pour cause : si le concept prend racine dans l’industrie automobile, les principes de l’amélioration continue et de la réduction du gaspillage s’appliquent également au contexte de la cybersécurité !

‍

Pour faire face à la multiplication et à la sophistication croissante des cyberattaques, les entreprises investissent depuis plusieurs années dans des produits de cybersécurité (pare-feux, antivirus, EDR…) et de sauvegarde. Pourtant, la stratégie visant à se reposer exclusivement sur ces solutions reste aujourd’hui insuffisante.

La Loi de Programmation Militaire (ou LPM) est de plus en plus connue dans le monde de la cybersécurité – mais pas que. Cette législation française définit en effet l’ensemble des priorités, objectifs et ressources allouées aux forces armées pour une période donnée. Ces objectifs concernent certes la sécurité des systèmes d’information, mais ils se rapportent aussi à l’équipement, aux efforts de recherche ou encore aux effectifs.

Cependant, c’est bien l’axe « cyber » de cette loi qui nous intéresse ici. Voici donc un bilan sur les exigences de la LPM en matière de sécurité informatique – et les façons de les mettre en œuvre.

Les experts de la cybersécurité connaissent la norme ISO 27002. Certains s’en inspirent pour garantir la bonne santé du système d’information de leur entreprise ou maintenir la certification ISO 27001 de leur SMSI, quand d’autres la considèrent de loin, n’y voyant pas d’intérêt pour leur organisation.

Et, pourtant, cette norme est loin de n’être réservée qu’à une certaine catégorie d’entreprises, soumises à des réglementations spécifiques – surtout depuis sa mise à jour en 2022. Elle peut, en effet, participer à l’amélioration de la posture de cybersécurité de toute organisation… à condition de savoir comment l’utiliser et avec quel outil.

La norme ISO 27035 est aussi connue sous le nom d’ISO/IEC 27035. Pourquoi ? Tout simplement parce qu’elle nous vient non seulement de l’Organisation internationale de normalisation (ISO), mais aussi de la Commission électrotechnique internationale (IEC). Cadre reconnu internationalement pour la gestion des incidents de cybersécurité, ISO 27035 est tout de même moins connu qu’ISO 27001 ou 27002. Et pourtant, son importance est cruciale !

Publiée en 2005, la norme internationale ISO 27001 pose le cadre de référence permettant d’établir le système de management de la sécurité de l’information (SMSI). Cette norme traite la sécurité par le prisme de la gestion des risques qui pèsent sur vos données, autour d’un concept simple qui tient en une phrase : « prévenir plutôt que guérir ». Allons voir cela de plus près.

En France comme ailleurs, la digitalisation accélérée des services financiers a amplifié les risques en matière de cybersécurité et de résilience opérationnelle. C’est dans ce contexte que l’Union européenne a introduit le Digital Operational Resilience Act (DORA), un cadre réglementaire qui vise à renforcer la résilience des institutions financières face aux menaces numériques. Adoptés en novembre 2022 par le Conseil de l’UE, DORA et sa directive associée sont entrés en vigueur le 16 janvier 2023.

Le système d’information d’une entreprise est un environnement en constante évolution. Entre diversité des usages (télétravail, BYOD, OT…) et pluralité des infrastructures (on-premise, hybride, full cloud), l’entreprise se doit d’impliquer l’ensemble de ses collaborateurs dans le but de renforcer sa posture de cybersécurité.

‍À l’heure de l’émergence de l’intelligence artificielle générative, et à l’aube de l’émergence de l’Intelligence Artificielle Générale (AGI), nous avons voulu imaginer des scénarios d’utilisation de l’IA dans les solutions de cybersécurité à l’horizon 2050.

Ce récit fantasmé a pour objectif de vous inciter à réfléchir sur votre utilisation de l’IA et de vous offrir des perspectives de réflexion.

La politique de sécurité du système d’information (P.S.S.I) est plus qu’un simple document de référence : elle représente le fondement de la vision stratégique en matière de sécurité du SI de l’entreprise. Rien que ça.

Historiquement perçu comme un expert technique, le RSSI se doit désormais d’évoluer vers un rôle de communiquant.

Dans un environnement de travail en constante évolution, le RSSI – et plus généralement l’équipe SSI – sont chargés de guider collaborateurs au travers d’une vision de ce qu’est et ce que doit être la cybersécurité au sein de l’entreprise. Si cette mécanique se base sur le partage de bonnes pratiques et l’établissement de règles communes, elle se doit d’être incarnée par un leadership affirmé de la part du RSSI.

Mais alors comment communiquer de manière intelligible auprès de votre organisation ? Comment partager et faire adhérer vos collaborateurs à vos enjeux et prérogatives ? Éléments de réponse et conseils de notre expert.

Suivi de la mise en conformité, sensibilisation aux risques cyber, analyse de risque ou encore gestion du quotidien… Année après année, les RSSI se voient attribuer toujours plus de responsabilités – une tendance qui devrait malheureusement se confirmer avec l’introduction prochaine de nouvelles réglementations.

À la question : comment gérer son temps de travail efficacement ? La réponse pourrait résider dans l’automatisation de certaines tâches, notamment celles liées à la conformité.

Plusieurs questions s’imposent alors : est-il possible d’automatiser la gestion d’une certification ? Jusqu’à quel point ? Comment la plateforme Tenacy peut-elle simplifier la mise en place, le maintien et l’évaluation de la conformité ? Commençons par le commencement.