RSSI : Vous allez être attaqués. Voici comment protéger vos ressources (et votre emploi).

CISO company

Photo : Les dirigeants ont une vision différente de la sécurité de l’IT. Les RSSIs ont besoin de leur point de vue.

Il est d’usage de dire que les deux seules choses inévitables dans la vie sont les impôts et la mort. Maintenant, vous pouvez ajouter le fait d’être piraté à cette liste. Avec des vulnérabilités de sécurité de plus en plus difficiles à contrôler, notamment à cause du BYOD (bring your own devices) et des objets connectés – IoT (Internet Of Things), de nombreuses entreprises se demandent non plus « si » mais « quand » elles vont être piratées ».

Alors comment le/la RSSI (responsable de la sécurité du système d’information) peut élaborer un plan qui non seulement va garantir les ressources et la réputation de l’entreprise en cas de violation … mais également garantir qu’il/elle aura encore un emploi une fois que la tempête sera passée ?

Etre résistant, mais pas à l’épreuve des balles.

Cette adage est d’une part corrélé avec la psychologie humaine, et d’autre part se veut pragmatique. Si le RSSI annonce fièrement que, grâce à des tests d’intrusions ponctuels le réseau est entièrement sécurisé … il lui sera difficile d’être crédible lorsque l’entreprise subira une cyber-attaque. Le conseil d’administration, non sans raison, va se dire : « Vous nous avez dit que nous n’avons pas d’inquiétude à avoir mais, aujourd’hui, nous faisons face à une crise majeure. » Le RSSI sera dans une position très délicate et d’autant plus vulnérable.

Voilà pourquoi Gartner a récemment suivi un groupe de 3.400 chefs d’entreprises afin de recadrer leur attitude face à la cyber-sécurité. Selon un article intitulé « Comment faire un plan de gestion du risque numérique et le vendre au conseil d’administration« , le site IT News cite l’analyste de Gartner Peter Firstbrook : « L’objectif ne doit pas être une protection à 100% … l’objectif devrait être placé dans la résistance. »

La résistance est un concept à plusieurs facettes. Bien sûr, la première action sur la liste est de renforcer vos défenses autant que que possible. Voilà ce que tout général ferait. Mais vraisemblablement les entreprises résistantes sont celles qui peuvent également réagir rapidement à une défaillance de leurs défenses, minimiser les dommages et enfin remédier aux failles de sécurité aussi rapidement que possible.

Dans ce scénario, la résistance est liée aux processus et aux différents programmes en place au sein de l’entreprise, comme la dimension technologique par exemple. Nous évoquerons grâce à un « calendrier » le moyen pour les RSSI d’élaborer un plan de sécurité holistique. Mais d’abord, un autre concept intéressant … la confiance adaptable.

 

Retrouvez l’article intégral en anglais ici

Leave a Reply