Romain VERGNIOL (Directeur Cybersécurité – Groupe Cegedim) nous propose une “to do list” pour réussir sa rentrée de RSSI.
Faire le point chaque année sur sa stratégie de cybersécurité est désormais un impératif stratégique pour l’ensemble des organisations. En effet, pour se protéger de menaces toujours plus complexes, les entreprises de toutes tailles se doivent de mettre en œuvre des dispositifs efficaces qui leur permettront de limiter leur exposition aux cyber risques. Dans ce contexte, la rentrée est un bon moment pour prendre le temps nécessaire afin d’analyser l’existant et de définir les évolutions à venir pour renforcer sa gouvernance cyber (moyens nécessaires, actions à mettre en place…).
- Se baser sur une analyse du risque objective
En ce sens, il faut prendre en considération toutes les composantes propres à l’organisation, existantes à l’instant T, et y intégrer les éventuels nouveaux périmètres et opérations qui ont pu faire évoluer le schéma existant (rachats d’entreprises, nouvelles organisations, déménagements…). Le contexte externe doit également être évalué : évolution de la menace cyber, des règlementations et des évènements géopolitiques. Il est alors possible d’avoir une cartographie concrète et actualisée des nouveaux risques et d’identifier les plus sensibles. Pour mener à bien cette tâche, les RSSI peuvent s’appuyer sur des schémas éprouvés à l’image de la méthode EBIOS Risk Manager de l’ANSSI qui permet d’apprécier les risques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. On notera enfin qu’il est important de prendre en considération la dimension sectorielle et contextuelle propre à chaque entreprise pour être parfaitement exhaustif.
- Intégrer la composante humaine
À l’occasion du mois de la cyber en octobre, il est opportun de prendre le temps de sensibiliser tous les collaborateurs aux sujets de la cybersécurité afin qu’ils puissent intégrer les bons réflexes et les bonnes pratiques à adopter dans des situations diverses : ne pas cliquer sur certains liens, être vigilants dans différents cas d’usage… Des campagnes de sensibilisation dans plusieurs formats peuvent ainsi être proposées et adaptées au profil des équipes. Cette étape de sensibilisation est un maillon central d’une bonne gouvernance cyber.
Toujours au niveau des équipes, la rentrée est le bon moment pour évaluer et budgéter précisément les nouvelles ressources dont aura besoin l’entreprise sur les prochains mois : embauche de nouveaux talents, recherche de support en externe sur certains profils… Ces demandes doivent s’appuyer sur l’analyse de risque préalablement réalisée.
- Tester la résilience de son infrastructure et de son SI
Enfin, une autre mesure, à prendre en compte, consiste à faire le point sur son Plan de Continuité d’Activité (PCA) et de le tester via des exercices pour s’assurer que les services et activités critiques pourront toujours être opérationnels en cas de crise. Il est donc vital de s’assurer que ce point soit maitrisé et que les équipes en charge de le gérer soient formées et rompues à l’exercice.
Ces trois points structurants sont donc les actions fondamentales à adopter pour faire évoluer son dispositif et s’assurer que son organisation puisse s’appuyer sur une gouvernance cyber actualisée et adaptée à son organisation.
