The CISO's first 100 days

Share

Vous ne direz par le contraire : dans une organisation, le rôle du RSSI est central, notamment dans l’application et le suivi des bonnes pratiques de cybersécurité internes. De l’état des lieux de la sécurité du SI à l’analyse des précédentes attaques, en passant par la cartographie des actifs critiques et la continuité des actions passées liées à des analyses de risques, la période des 100 premiers jours de prise de poste d’un RSSI est déterminante pour l’organisation.

Dans cet article, retrouvez les résultats d’une étude menée en collaboration entre Tenacy et le CESIN auprès de 131 RSSI, qui partagent les défis et réussites rencontrés au cours de cette période. Missions prioritaires à mener, enjeux de communication dans l’entreprise… Entre divergence des visions et pluralité des missions, immersion dans les 100 premiers jours de prise de poste du RSSI.

 

Le RSSI, une ressource rare pour les entreprises

Selon notre étude, un RSSI reste en poste dans la même entreprise durant 3,7 années en moyenne. En complément, 32 % des répondants déclarent avoir changé de poste dans les 12 derniers mois. Si ces statistiques questionnent, elles s’expliquent par deux facteurs conjoncturels.

Le premier est dû à un marché de l’emploi en pénurie d’experts en sécurité informatique, qui voit des niveaux de salaires s’envoler, augmentant mécaniquement le turn-over. Une étude OpinionWay pour le CESIN réalisée en 2021 a d’ailleurs annoncé que le salaire médian d’un RSSI était de 89 200 €, soit plus du double du salaire moyen[1] dans l’hexagone.

Le second facteur est l’épuisement d’une partie des professionnels de la cyber, qui font face à une recrudescence des cyberattaques toujours plus sophistiquées. Avec les vulnérabilités Log4Shell/Log4j (CVE-2021-44228), Microsoft Exchange Privilege Escalation (CVE-2022-41080), VMWare File deletion (CVE-2023-20854) ces dernières années auront été une nouvelle fois denses pour les professionnels de la cybersécurité. L’éditeur Splunk annonçait en 2022 dans un rapport intitulé « L’état de la cybersécurité » que 73 % des démissions des professionnels de la cyber outre-atlantique étaient dues à un burn-out. Un phénomène qui ne risque pas de s’atténuer en 2024 !

 

The qualities required of a CISO differ according to company size

Selon notre étude, les entreprises de moins de 5 000 salariés attendent en priorité d’un RSSI d’avoir une culture de la cybersécurité leur permettant de comprendre les risques spécifiques à l’entreprise et ainsi de pouvoir conseiller les équipes sur les actions et bonnes pratiques à adopter.

Pour les RSSI de grandes organisations, la première qualité attendue est d’acquérir une profonde culture du métier de l’entreprise. De nombreux secteurs sont soumis à des contraintes de conformité comme :

  • le secteur bancaire avec DORA ;
  • le secteur industriel avec la LPM (loi de programmation militaire) et NIS 2 ;
  • le secteur de la santé avec NIS 2 et le décret HDS (hébergement de données de santé).

Dans certains cas, ces organisations intègrent des systèmes de production obsolètes qui demandent un effort de planification des mois à l’avance avant de pouvoir faire la moindre mise à jour. Sans une profonde compréhension de l’existant et des contraintes qu’il impose, le RSSI ne pourra pas mettre en œuvre une politique de sécurité et une roadmap cyber qui soient applicables à l’entreprise.

L’étude menée permet également d’identifier une qualité essentielle attendue pour un RSSI, et ce, quelle que soit la taille de son organisation : il doit être capable de mettre en place une veille réglementaire adaptée et de la prendre en compte au quotidien.

 

Priority is given to structuring, the rest will have to wait

Au cours de ces 100 premiers jours, le RSSI accorde toute son attention aux actions de structuration du SI. Ainsi, pour 55 % des personnes interrogées, la cartographie des processus métiers vitaux s’avère prioritaire.

Pour 41 % des répondants, prendre connaissance de la cartographie du SI s’avère également indispensable. Cette action s’accompagne par un état des lieux de la sécurité du système d’information déjà en place. Cet état des lieux prend en compte différentes thématiques, telles que :

  • les processus et compétences internes ;
  • les solutions de sécurité utilisées par l’entreprise ;
  • la gouvernance en place ;
  • la sécurité opérationnelle ;
  • la gestion de la conformité.

 

La communication, un enjeu majeur des 100 premiers jours

Pour 55 % des répondants, se faire connaître comme RSSI auprès de l’ensemble des équipes, partenaires et sous-traitants est indispensable. Être identifié auprès des dirigeants de l’entreprise est primordial pour 65 % des répondants. En conseillant les dirigeants de l’entreprise dans l’application de la Politique de Sécurité du SI (PSSI) et en définissant la roadmap cyber, le RSSI apporte une prise de conscience de la menace et s’efforce de fédérer les équipes autour de ce sujet.

Cette étape de communication permet également au RSSI de rencontrer les prestataires et sous-traitants présents dans l’environnement de l’entreprise. Loin d’une évaluation approfondie, cette rencontre permet à minima de pouvoir se forger un premier niveau de connaissance et de conscience sur le fonctionnement de l’entreprise ainsi que sur son niveau d’exposition.

Une tâche qui n’est cependant pas prioritaire pour les décideurs dans les 100 premiers jours, puisque seuls 23 % des répondants déclarent prioriser cette action comme importante et seulement 10 % comme indispensable. Rome ne s’est pas construite en 100 jours : le RSSI doit lui aussi prioriser !

 

L’analyse des audits et des incidents de sécurité vient dans un second temps

Malheureusement pour le RSSI, la période de 100 jours est trop courte pour lui permettre de prendre en compte l’ensemble des sujets. Pour notre panel, ce sont les actions d’analyse des événements passés qui sont jugées moins prioritaires. Pour 50 % des sondés, l’analyse des audits passés semble être une action à traiter durant cette période ; 16 % la définissent comme indispensable, pour les autres cela attendra.

L’analyse des incidents de sécurité est également traitée ultérieurement puisque seuls 6 % des sondés la déclarent primordiale et 35 % importante.

 

LE MOT DE LA FIN

Durant cette période des 100 premiers jours, le RSSI doit faire face à une grande variété de thématiques :

  • prendre connaissance des outils et des choix des directions passées ;
  • se faire identifier comme expert tout en communiquant auprès des parties prenantes de l’entreprise ;
  • appliquer et suivre les actions en termes de gouvernance et conformité

Pour chacune, il doit imposer sa vision et son empreinte tout en les adaptant à sa nouvelle entreprise. Exigences de conformité liées à l’activité, taille de l’entreprise… les attentes des organisations et les missions associées divergent pour les RSSI. Pour découvrir en détail (et en images) le déroulement de ces 100 premiers jours, retrouvez les résultats de notre étude en remplissant le formulaire ci-contre !

[1] Source: https://business-cool.com/decryptage/salaire/salaire-moyen-median-france/

Ce sujet vous intéresse ? NOUS AVONS UN webinaire POUR VOUS !
RÉUSSIR SA PRISE DE POSTE : PAROLES DE RSSI


Organisé en partenariat avec le CESIN, ce webinaire donne la parole à des RSSI qui ont récemment changé de poste. Nos invités reviennent sur cette période charnière de la prise de poste, échangent sur les défis qu’ils ont été amenés à relever et partagent leurs conseils.

Watch the replay