Cyber News

Qu’il s’agisse de trancher les questions relevant de son pré carré ou d’obtenir l’accord de son top management sur la stratégie et le budget, la prise de décision se trouve au cœur des préoccupations du RSSI. Sur quoi se baser pour décider ? Comment s’assurer de prendre les bonnes décisions ? Voici quelques bonnes pratiques pour bien décider et bien faire décider en matière de cybersécurité.

Face à l’extension et la fragmentation du système d’information, le RSSI rêverait d’avoir le don d’ubiquité, pour tout voir et tout protéger, au sein de l’entreprise et au-delà. À défaut de posséder cette faculté, reste pour lui l’option consistant à se montrer vigilant sur la surveillance d’espaces parfois délaissés tout en effectuant un travail de cartographie minutieux. Pragmatique, cette approche permet de poser les bases d’une stratégie solide, en donnant davantage de visibilité pour pouvoir prioriser.

Dans de nombreuses organisations, le RSSI est encore perçu comme un technicien, ou comme « l’expert qui dit non ». Les RSSI sont donc confrontés à un défi de taille, consistant à démontrer que la sécurité ne représente pas un coût, mais bel et bien un investissement pour assurer le futur de l’entreprise. Pour le relever, une seule solution : avoir les idées claires sur la posture à tenir, et se positionner au quotidien comme un facilitateur business.

Selon l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF, menée auprès de 350 entreprises de plus de 100 salariés, la fonction de RSSI se trouve rattachée à la direction générale dans 56% des cas. Ce chiffre encore bas illustre la difficulté de la cybersécurité à occuper une place de choix au niveau du top management. Comment le RSSI peut-il remédier à cette situation et œuvrer pour une plus grande reconnaissance de ses missions par le top management ? Peut-être tout simplement en osant faire le premier pas !

En cybersécurité, les données sont essentielles. Sans elles, impossible pour le RSSI de factualiser sa position de sécurité et de savoir quelle posture adopter ! Alors que les services RH et financiers disposent de leur propre système d’information, la cybersécurité se pratique le plus souvent avec les moyens du bord. Pour être efficace, quelles données collecter ? Comment les faire redescendre vers le terrain ? Voici un tour d’horizon méthodologique du sujet.

CISOs as superheroes? CISOs are stressed. That's the finding of a study conducted by Vanson Bourne on behalf of Nominet, which surveyed 800 information security managers in the United States and the United Kingdom. Although France was not included in the study, it seems reasonable to assume that the situation there is similar. Why all the stress? Quite simply because CISOs take on the role of superheroes, superhero CISOs, without having the appropriate resources at their disposal.

From design to formatting, not to mention the thorny issue of data collection, SSI dashboards make life difficult for CISOs. A complex environment, difficulties in engaging contributors, unsuitable tools... there are many reasons for the time wasted and frustration generated, to the point that some CISOs are almost tempted to give up. They therefore sometimes turn to predefined, technical dashboards provided by the multitude of technological solutions available on corporate networks.

What if the solution was to continue creating dashboards, but in a different way?

While the ANSSI hygiene guide recommends raising user awareness of basic IT security best practices, the reality is enough to make CISOs tremble. According to the CESIN cybersecurity barometer established in January 2020, employees remain difficult to mobilize. 45% of companies believe that their employees do not follow the recommendations! So what solutions are available to CISOs to raise awareness and engage teams?

RSSI et course après le temps, est-ce un sujet anecdotique ? Selon une étude réalisée par Nominet auprès de 800 CISO à l’automne 2019, 95% des RSSI dépasseraient leur temps de travail d’environ 10 heures par semaine. Bien évidemment, ce phénomène s’explique en partie par la pénurie de compétences qui sévit dans le domaine de la cybersécurité. Mais ce n’est pas la seule raison ! Au quotidien, cette course après le temps est due à des problèmes d’ordre culturel et organisationnel qui ralentissent les RSSI. Heureusement, des solutions existent désormais pour leur permettre de retrouver sérénité et efficacité.