Actualités Cyber

Qu’il s’agisse de trancher les questions relevant de son pré carré ou d’obtenir l’accord de son top management sur la stratégie et le budget, la prise de décision se trouve au cœur des préoccupations du RSSI. Sur quoi se baser pour décider ? Comment s’assurer de prendre les bonnes décisions ? Voici quelques bonnes pratiques pour bien décider et bien faire décider en matière de cybersécurité.

Face à l’extension et la fragmentation du système d’information, le RSSI rêverait d’avoir le don d’ubiquité, pour tout voir et tout protéger, au sein de l’entreprise et au-delà. À défaut de posséder cette faculté, reste pour lui l’option consistant à se montrer vigilant sur la surveillance d’espaces parfois délaissés tout en effectuant un travail de cartographie minutieux. Pragmatique, cette approche permet de poser les bases d’une stratégie solide, en donnant davantage de visibilité pour pouvoir prioriser.

Dans de nombreuses organisations, le RSSI est encore perçu comme un technicien, ou comme « l’expert qui dit non ». Les RSSI sont donc confrontés à un défi de taille, consistant à démontrer que la sécurité ne représente pas un coût, mais bel et bien un investissement pour assurer le futur de l’entreprise. Pour le relever, une seule solution : avoir les idées claires sur la posture à tenir, et se positionner au quotidien comme un facilitateur business.

Selon l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF, menée auprès de 350 entreprises de plus de 100 salariés, la fonction de RSSI se trouve rattachée à la direction générale dans 56% des cas. Ce chiffre encore bas illustre la difficulté de la cybersécurité à occuper une place de choix au niveau du top management. Comment le RSSI peut-il remédier à cette situation et œuvrer pour une plus grande reconnaissance de ses missions par le top management ? Peut-être tout simplement en osant faire le premier pas !

En cybersécurité, les données sont essentielles. Sans elles, impossible pour le RSSI de factualiser sa position de sécurité et de savoir quelle posture adopter ! Alors que les services RH et financiers disposent de leur propre système d’information, la cybersécurité se pratique le plus souvent avec les moyens du bord. Pour être efficace, quelles données collecter ? Comment les faire redescendre vers le terrain ? Voici un tour d’horizon méthodologique du sujet.

RSSI super-héros ? Les RSSI sont stressés. C’est ce qui ressort d’une étude réalisée par le cabinet Vanson Bourne à la demande de Nominet, et réalisée auprès de 800 responsables de la sécurité des systèmes d’information aux Etats-Unis et en Grande-Bretagne. Si la France ne fait pas partie de l’étude, il semble cependant raisonnable d’imaginer que la situation y est similaire. Pourquoi ce stress ? Tout simplement parce que le RSSI assume une mission de super-héros, le RSSI super-héros, sans pour autant disposer des moyens adaptés.

De leur conception à leur mise en forme, en passant par l’épineux sujet de la collecte des données, les tableaux de bord SSI mènent la vie dure aux RSSI. Complexité de l’environnement, difficultés à engager les contributeurs, outils inadaptés… les raisons ne manquent pas pour expliquer la perte de temps et les frustrations générées, à tel point que certains RSSI seraient presque tentés de baisser les bras. Ils se tournent donc parfois vers des tableaux prédéfinis et techniques, fournis par la multitude des solutions technologiques présentes sur les réseaux d’entreprises.

Et si la solution consistait à continuer à faire des tableaux de bord, mais autrement ?

Si le guide d’hygiène de l’ANSSI préconise de sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique, la réalité a de quoi faire trembler les RSSI. Selon le baromètre de la cybersécurité du CESIN établi en janvier 2020, les salariés restent en effet difficilement mobilisables. 45 % des entreprises considèrent ainsi que leurs collaborateurs ne suivent pas les recommandations ! Alors, quelles solutions s’offrent aux RSSI pour éveiller les consciences et engager les équipes ?

RSSI et course après le temps, est-ce un sujet anecdotique ? Selon une étude réalisée par Nominet auprès de 800 CISO à l’automne 2019, 95% des RSSI dépasseraient leur temps de travail d’environ 10 heures par semaine. Bien évidemment, ce phénomène s’explique en partie par la pénurie de compétences qui sévit dans le domaine de la cybersécurité. Mais ce n’est pas la seule raison ! Au quotidien, cette course après le temps est due à des problèmes d’ordre culturel et organisationnel qui ralentissent les RSSI. Heureusement, des solutions existent désormais pour leur permettre de retrouver sérénité et efficacité.