AVIS D’EXPERT – Les risques et l’ampleur de la cybercriminalité ne cessent de croître. Malgré les efforts frénétiques déployés pour protéger leurs environnements des attaques, les entreprises doivent se rendre à l’évidence : les failles sont inévitables. Ryan Sheldrake, Field CTO chez Lacework, fait le pouint sur l’arc de compétences du RSSI qui doit, selon lui, ne pas se limiter au technique.
Selon le rapport 2022 sur le coût d’une violation de données publié par IBM, 83 % des entreprises interrogées déclarent avoir subi plusieurs violations de données. La question n’est donc plus de savoir si l’on en sera victime, mais quand. La principale ligne de défense contre les cybercriminels se matérialise dans la plupart des entreprises sous la forme d’une équipe de sécurité, généralement dirigée par un responsable de la sécurité des systèmes d’information (RSSI). Traditionnellement chargé de piloter les efforts internes et externes de protection des systèmes d’information, le RSSI voit son rôle évoluer face aux risques cyber et doit désormais communiquer et transmettre des idées complexes liées à la cybersécurité auprès de chaque collaborateur, y compris les dirigeants et le conseil d’administration. Pour ce faire, il se doit de développer au sein de ce dernier une culture de la sécurité qui rime avec transparence et responsabilité, puis d’insuffler à tous les niveaux de l’entreprise en puisant dans sa boîte à outils composées de priorités, bonnes pratiques et informations afin de sécuriser l’entreprise et faire face aux menaces omniprésentes et toujours plus complexes.
Poser les bonnes bases
Pour développer une culture de la sécurité efficace, il est impératif que cet aspect soit intégré dès le début du cycle de vie du produit. En effet, il convient de former tous les collaborateurs aux bonnes pratiques en matière de sécurité afin de pouvoir détecter les failles le plus tôt possible. Le RSSI veille à ce que les fonctions de sécurité soient testées et intégrées dès le début du cycle de développement afin de protéger les données utilisateur dès le départ. En sensibilisant l’ensemble de l’entreprise à l’importance de prévenir les risques, des ingénieurs en sécurité aux dirigeants en passant par le service comptabilité, le RSSI favorise une bonne compréhension des enjeux de sécurité.
Les compétences non techniques, élément clé de tout programme de sécurité efficace
Alors que la fonction sécurité est traditionnellement considérée comme très technique et imperméable au concept de culture, un bon RSSI reconnaît désormais l’importance des compétences non techniques dans ce domaine. Les meilleurs RSSI savent s’adresser à tous et maîtrisent à la fois le langage commercial et technique. Cependant, pour sensibiliser l’ensemble de l’entreprise aux enjeux de sécurité et développer une forte culture en ce sens, il doit aussi savoir persuader, posséder d’excellentes qualités relationnelles et savoir forger des liens avec les différents départements de l’entreprise et agir en partenaire et non en gendarme. Le RSSI moderne, dont le rôle a évolué, donne désormais la priorité au développement des compétences non techniques et d’une véritable culture au sein de l’entreprise, il veille à ce que les bonnes pratiques de sécurité soient mises en œuvre à grande échelle.
Une approche orientée culture pour mesurer le succès
Le rôle sécurité est généralement hautement technique et traditionnellement considéré comme peu favorable au développement d’une culture d’entreprise. Toujours est-il que les meilleurs RSSI favorisent désormais une culture qui rime avec transparence et responsabilité et qui permet à chacun de comprendre ses attributions ainsi que les risques associés, une nécessité face aux menaces complexes toujours plus nombreuses. Pour ancrer la sécurité dans la culture d’entreprise, l’une des méthodes les plus efficaces consiste à stimuler l’adoption des mesures de sécurité, et non à la forcer. Pour pérenniser la culture de la sécurité en entreprise, le RSSI voit ses priorités évoluer :
- Adoption des mesures de sécurité : élaborer des programmes de sécurité qui motivent et suscitent l’engagement au lieu de contraindre.
- Diversification des compétences : favoriser la diversité, car la complémentarité des compétences est essentielle à la réussite de l’entreprise.
- Transparence autour des risques : prôner la visibilité et l’observabilité pour permettre aux collaborateurs d’identifier les actifs à risque et de les protéger de manière proactive.
- Responsabilisation : impliquer chaque équipe de l’entreprise dans la démarche de sécurité. Alors que les équipes de sécurité forment, auditent, et fournissent une protection et les outils nécessaires, chaque équipe se doit de suivre les bonnes pratiques de sécurité.
- Mentorat : fournir des conseils pratiques fondés sur l’expérience personnelle pour que la sécurité soit perçue comme un levier, et non comme un frein.
Le paysage actuel des menaces est déterminant. Tous les jours, il suffit de jeter un coup d’œil aux actualités pour comprendre que les cybercriminels s’enhardissent et se montrent de plus en plus efficaces. Dans un contexte où les entreprises peinent à maintenir une posture de sécurité efficace face aux menaces en constante évolution, les responsables sécurité doivent veiller à proposer un programme accessible à toute personne qui interagit avec leur environnement. S’appuyer sur des compétences nouvelles, mêler culture d’entreprise et savoir-faire en matière de sécurité, faire des mesures de sécurité une priorité, et non une option facultative… Autant d’outils que les meilleurs RSSI adoptent pour développer une véritable culture de la sécurité.
