Cultiver son sang froid et son esprit d’analyse
En tous domaines, la difficulté n’est pas tant de décider que de prendre la « bonne décision », le problème du RSSI en la matière étant double. Tenu à une obligation de moyens, il est en effet amené à trancher en sachant que le risque zéro n’existe pas, tout en étant soumis à des contraintes de temps et de budget importantes. La perfection n’étant de toute évidence pas atteignable, le RSSI a donc tout intérêt, pour maximiser ses chances de bien « décider », de cultiver un certain état d’esprit.
Éviter les biais
En pratique, cela signifie d’abord ne pas se fier à son impression première. S’il arrive très souvent aux RSSI fraîchement recrutés de devoir trancher des questions techniques « à l’instinct », l’approche n’est pas tenable sur le long terme. Comme l’a théorisé l’économiste et sociologue américain Herbert Simon, notre rationalité se trouve par essence limitée (bounded rationality). Qu’il le veuille ou non, le RSSI est, comme tout le monde, exposé au piège des biais cognitifs, parmi lesquels :
- le biais de confirmation, consistant à ne porter attention qu’aux éléments allant dans le sens de son point de vue initial ;
- le biais de conformité, lequel conduit à prendre des décisions similaires à celles de pairs, alors que la situation n’est pourtant pas la même;
- le biais d’informations, désignant la tendance à chercher toujours plus d’informations, même inutiles, en pensant que cela générera une meilleure décision.
Il serait possible d’étendre cette liste, mais ces quelques exemples suffisent à illustrer le propos : pour « bien décider », le RSSI se doit, inlassablement, de prendre du recul sur ses réactions « à chaud » et de privilégier le raisonnement basé sur des éléments à la fois concrets et fiables. C’est là le meilleur moyen de décider en connaissance de cause, et, accessoirement, de convaincre les décideurs sur les questions touchant au budget ou à la stratégie d’entreprise.
Ne pas se fier à 100% aux outils dédiés à la cybersécurité
Les outils de cybersécurité se développent, et c’est tant mieux ! Pour autant, la plus grande prudence s’impose. Chaque outil dispose d’un mode de fonctionnement propre, ce qui fait qu’il n’est pas forcément, à lui seul, capable d’apporter des réponses à toutes les questions qui méritent d’être posées.
À titre d’exemple, un outil de collecte de données peut, en raison d’un paramétrage par défaut, alerter à tort sur l’existence de postes non couverts par l’antivirus corporate. Si le RSSI ne fait pas l’effort de comprendre la façon dont l’outil gère la donnée, puis d’interpréter la matière que celui-ci fournit avec sa propre grille de lecture, la décision prise risque fort d’être mauvaise. Basée sur une fausse croyance, elle ne sera peut-être pas pertinente, et engendrera de surcroît pour le RSSI un risque de décrédibilisation. Conclusion : décider à l’aide d’outils, oui, mais laisser les outils décider, c’est non !
Se baser sur des données pertinentes
Tous les RSSI le savent : la pratique de la cybersécurité repose avant tout sur les données. Pour autant, la collecte de données ne saurait suffire à garantir la qualité des décisions prises.
Identifier les bonnes données en partant de la stratégie
Pour le RSSI, l’exercice revient à dérouler un fil de raisonnement, avec un chaînage du haut vers le bas :
- Quels sont les points clés de la stratégie de cybersécurité ?
- Quelles sont les exigences à appliquer pour remplir ces objectifs ?
- Quels indicateurs en découlent ?
- Quelles informations aller chercher sur le terrain ?
C’est en partant de la stratégie que le RSSI réussit à détecter les données les plus pertinentes à aller chercher, le tout en se fixant des priorités : le mieux étant l’ennemi du bien, l’idéal serait toujours de travailler avec quelques indicateurs bien choisis, plutôt que de risquer de se perdre avec un trop-plein d’informations.
Quant aux RSSI qui peinent à faire remonter l’information et à la traiter, la meilleure des décisions consiste certainement, avant de se lancer dans la construction d’un tableau de bord, à appliquer les basiques : patcher, installer un antivirus, gérer les sauvegardes et les vulnérabilités, ne pas laisser les utilisateurs être administrateurs de leur poste et faire de la sensibilisation.
Faire parler la donnée
Les données fiables ne permettent malheureusement pas, telles quelles, de prendre à coup sûr une bonne décision. Il faut en effet « faire parler » la donnée, ce qui implique différentes manipulations, telles que le croisement d’informations, ou encore la modélisation, comme le permettent les outils de Business Intelligence.
Mieux encore, la donnée mérite d’être traitée jusqu’à permettre d’évaluer la position de sécurité de l’entreprise. Sur ce terrain, l’idéal est de commencer par le sujet le plus important (l’informatique corporate par exemple), puis d’en faire une analyse objective en se fondant sur un référentiel préalablement sélectionné (guide de l’ANSSI, CIS, NIST…). La situation doit ensuite être réévaluée de façon régulière, quitte à étendre l’analyse au fur et à mesure, par exemple en intégrant les filiales, les partenaires ou business units.
Pour ce faire, des outils de security scoring tels Bitsight ou Security Scorecard présentent un intérêt certain, à ceci près qu’il convient de les utiliser en ayant conscience de leur prisme. Comme les outils précités captent des informations uniquement en source ouverte, ils sont susceptibles de ne pas détecter une priorité, si celle-ci n’est pas visible depuis internet. Rappelons également que le scoring n’a d’intérêt…que si les données évaluées sont fiables ! Les benchmarks sont utiles également, en ce qu’ils permettent d’objectiver son niveau de sécurité en observant celui atteint par ses pairs sur un même référentiel. Parce qu’ils retiennent l’attention du top management, ils aident également le RSSI à obtenir les validations budgétaires nécessaires.