Le responsable de la sécurité de l’information a une énorme responsabilité. Ils sont responsables de la sécurité de l’ensemble de l’organisation sur toute son empreinte géographique et virtuelle, de jour comme de nuit. Rationaliser les nombreuses tâches d’une entreprise lors de cyberattaques est difficile, même pour les RSSI les plus expérimentés. Des facteurs supplémentaires, tels que la forte demande et la faible offre de travailleurs qualifiés en cybersécurité et la nécessité de respecter le budget, exacerbent les nombreuses fonctions, rendant la position du RSSI intimidante.
Lorsqu’une attaque malveillante porte atteinte à une entreprise, le RSSI en porte trop souvent la responsabilité. Il n’est pas étonnant qu’un RSSI moyen exerce ses fonctions pendant environ deux ans et demi. En ce qui concerne les attaques de phishing, les RSSI ne peuvent tout simplement pas contrôler les actions de chaque employé, et le sort de l’entreprise dans son ensemble ne devrait pas reposer sur le fait qu’un seul employé clique innocemment sur un lien malveillant. Une entreprise est confrontée à des problèmes fondamentalement graves si sa posture de cybersécurité dépend du fait qu’un individu évite de cliquer sur un lien.
Les liens malveillants sont une chose, mais il existe des problèmes encore plus alarmants. Par exemple, en raison de ‘Saignement Citrix‘, une vulnérabilité survenue en octobre 2023 et affectant l’accès à authentification unique dans de nombreuses organisations à travers le monde, des perturbations se sont produites dans les sociétés de distribution d’eau, le marché obligataire et les transactions financières. Il y a même eu un cas où les services d’ambulance ont été détournés des hôpitaux.
En rapport:Comment les RSSI peuvent faire face à la surveillance croissante des régulateurs
À la suite des cyberattaques incessantes de ces dernières années, qui ont fait la une des médias quotidiens et les avertissements des agences de sécurité telles que le Royaume-Uni. Centre national de cybersécurité (NCSC), les dirigeants d’entreprise et les membres du conseil d’administration se rendent compte que la question qu’ils doivent se poser n’est pas « si » mais « quand » un mauvais acteur compromettra leur organisation.
Les cybercriminels sont très compétents et opèrent à temps plein, souvent au sein d’équipes organisées d’acteurs contractuels qui rassemblent des compétences diverses et complémentaires. La cybercriminalité est une entreprise bien gérée ; le Forum économique mondial déclare « que les dommages causés par toutes les formes de cybercriminalité, y compris les coûts de récupération et de réparation, ont totalisé 3 000 milliards de dollars en 2015, 6 000 milliards de dollars en 2021 et pourraient atteindre 10 500 milliards de dollars par an d’ici 2025 ». Si la cybercriminalité était un pays, il aurait la troisième économie après les États-Unis et la Chine.
Lourde est la tête qui porte la couronne
Les RSSI ont certainement d’énormes responsabilités et ne peuvent garantir à eux seuls la protection de l’organisation. Même les meilleures équipes informatiques ne sont pas capables de protéger les organisations. Leur charge de travail est suffisamment lourde et on ne peut pas s’attendre à ce qu’ils disposent d’un personnel possédant la formation ou le savoir-faire approprié pour protéger la technologie et la gérer.
En rapport:Une nouvelle ère pour les RSSI : naviguer entre les réglementations et les menaces sans précédent
Comment le conseil d’administration peut-il aider un RSSI à renforcer la résilience à l’échelle de l’organisation ? Et comment un RSSI peut-il lire sur le conseil d’administration sans se soucier de la sécurité de l’emploi chaque fois qu’un membre du conseil d’administration prend connaissance d’une autre attaque de ransomware ? Idéalement, il faut qu’un membre du conseil d’administration – ou quelqu’un qui conseille le conseil d’administration – comprenne les menaces actuelles, les gère et compare les coûts financiers et de réputation d’une attaque avec les investissements réalisés dans la cybersécurité.
La première étape pour aider les conseils d’administration et les RSSI à travailler ensemble en matière de défense consiste à examiner le langage de la cybersécurité. Les équipes techniques, les cadres supérieurs non techniques et les directeurs parlent souvent des langues différentes. Les RSSI qui demandent des fonds doivent expliquer les avantages d’une stratégie de sécurité basée sur les risques ; Les membres du conseil d’administration doivent comprendre ces dangers et prioriser les ressources en fonction d’autres préoccupations telles que les pénuries de compétences, les problèmes de chaîne d’approvisionnement et les investissements dans les nouvelles technologies.
Pour que les RSSI et les conseils d’administration travaillent ensemble efficacement face à la cybercriminalité, il y a cinq questions cruciales que le conseil d’administration peut poser :
1. Comment mesurent-ils la maturité de l’information et de la cybersécurité dans l’organisation ? Il devrait s’aligner sur celui des États-Unis Institut national des normes et de la technologie (NIST) ou la Cadre de cyberévaluation (CAF) du NCSC du Royaume-Uni. Et il est préférable de se concentrer sur un langage unificateur, sans se noter sur chaque échelle.
En rapport:Attraper un cybercriminel – et les conséquences qui s’ensuivent
2. Ont-ils essayé de mettre en place des contrôles depuis un certain temps, mais ont-ils besoin d’aide pour justifier le budget ? Ensuite, reliez cela à l’évaluation de la maturité de la zone affectée par le manque de contrôle. Il pourrait être utile de faire appel à une société externe spécialisée en cybersécurité pour évaluer la situation et la maturité de l’organisation en matière de sécurité à ce stade.
3. Peuvent-ils afficher des statistiques sur les incidents de cybersécurité et les cyberattaques contre l’organisation ? Toutes les organisations sont soumises à des attaques quasi constantes de la part d’outils automatisés, dont beaucoup sont ciblées ou manuelles. Le RSSI doit être capable de montrer comment il défend l’organisation et d’apprendre à le faire mieux et plus efficacement.
4. Bénéficieraient-ils d’une partie prenante centrée sur les affaires ? Si oui, ils pourraient se voir attribuer un mentor en affaires du conseil d’administration. Un mentor d’affaires veille à ce que le RSSI n’essaye pas seulement de défendre l’organisation mais lui permette de prospérer.
5. Utilisent-ils judicieusement et au maximum les investissements qu’ils ont déjà réalisés dans les produits, les services et les licences ? De nombreuses organisations n’en utilisent qu’une fraction.
Essentiellement, un RSSI, soutenu par le conseil d’administration, peut bénéficier de manière significative à une organisation. Ils peuvent fournir une feuille de route en matière de sécurité, créer une culture et un état d’esprit de sécurité, intégrer la sécurité dans les nouveaux projets informatiques, garantir la meilleure utilisation des ressources et, au fil du temps, réduire les coûts. Ne laissez pas la barrière de la langue devenir un point d’entrée que les mauvais acteurs peuvent exploiter.
