Dans un précédent article, nous avons passé en revue les responsabilités et les compétences indispensables d’un CISO. Dans un monde en pleine transformation numérique, la sécurité de l’information et la cybersécurité sont des préoccupations vitales. Je vous propose donc, aujourd’hui de revenir, au travers de quelques exemples, sur les raisons pour lesquelles toute organisation doit absolument avoir un CISO. Nous évoquerons aussi les contraintes, la position hiérarchique, les salaires et les risques courus par les CISO.
Chaque jour apporte son lot de nouvelles informations alarmantes en matière de cybersécurité. Cela va de l’intégrité des élections, ou d’informations bancaires volées à la dernière cyber-attaque contre l’ICANN. Vous avez sans doute l’impression qu’il vous faut un décodeur pour comprendre tout cela. Surtout quand ce n’est pas votre métier, c’est d’autant plus inquiétant qu’on n’y comprend rien. Pourtant cela semble très grave si on se fie à la mine sinistre des dirigeants qui communiquent sur le sujet. Alors, info ou intox?
Une façon de commencer à déchiffrer le jargon et l’intrigue consiste à essayer de voir ces problèmes sous l’angle du Directeur de la Sécurité de l’Information (CISO). Le CISO est généralement le plus haut responsable de la cybersécurité, membre du comité de direction, au sein d’une entreprise.
Un peu d’histoire
Le rôle de CISO remonte à 1994. Le géant bancaire Citigroup (alors Citi Corp. Inc.) avait été victime d’une série de cyber-attaques d’un pirate informatique russe, Vladimir Levin. La banque a créé le premier bureau exécutif mondial dédié à la cybersécurité. Elle a engagé Steve Katz pour le diriger.
Aujourd’hui, Katz est un nom de premier plan dans l’industrie. Il travaille comme consultant en cybersécurité et a toujours soutenu des initiatives de partage d’informations de grande valeur en finance, et plus récemment dans le domaine de la santé.
Selon Katz, il est important que les gens comprennent les responsabilités de ceux qui supervisent la cybersécurité. De cette façon, ils sont mieux préparés à interpréter les gros titres et à savoir distinguer ce qui compte vraiment.
Les investisseurs doivent également comprendre le fonctionnement de leur entreprise. De plus en plus de sociétés de cybersécurité arrivent sur un marché encombré. Elles cherchent du business, des fonds de capital-risque ou de nouveaux capitaux provenant d’une introduction en bourse.
Les responsabilités du CISO
Les responsabilités du CISO varient. Elles évoluent selon le secteur d’activité, la taille de l’entreprise et la réglementation à laquelle l’organisation est soumise. Des entreprises différentes structurent la cybersécurité de manières différentes. Cependant il existe de nombreux thèmes communs.
Dans les grandes organisations, le CISO supervise souvent une équipe de professionnels de la sécurité travaillant pour l’entreprise. Les petites entreprises peuvent sous-traiter ce travail à une entreprise externe fournissant des services gérés. Beaucoup font une combinaison des deux.
Nous avons compilé cette liste des responsabilités du CISO sur la base de recherches issues de ressources publiques, privées et universitaires ainsi que des offres d’emploi et d’entretiens avec des responsables de la cybersécurité et des dirigeants qui les embauchent.
Opérations de sécurité
Cette fonction implique une analyse en temps réel des menaces. Cela comprend la supervision des outils permettant de surveiller les pare-feu, les points d’entrée, les bases de données et d’autres environnements internes d’une entreprise. Quand quelque chose ne va pas, ces personnes sont censées découvrir et classifier les problèmes.
Cyber-risques et cyber-intelligence
Les conseils d’administration demandent souvent au CISO de prendre les devants face aux nouveaux types d’attaques qui pourraient être nuisibles, aux transactions commerciales qui pourraient présenter un risque de violation ou à de nouveaux produits susceptibles d’affaiblir la sécurité.
En 2017, Verizon a fait baisser de 350 millions de dollars le prix d’achat de Yahoo. Cela faisait suite à la révélation qu’une violation de données avait touché plus de personnes que Yahoo n’avait déclaré. C’est un exemple d’évaluation du coût d’un risque de cybersécurité par Verizon. Apparemment, la société aurait d’ailleurs souhaité un rabais plus important, pouvant atteindre 925 millions de dollars.
Lorsqu’un haut responsable du bureau du directeur du renseignement national a déclaré à un panel à Aspen que des agents iraniens possédaient des cyber-armes ciblant les infrastructures américaines, il s’appuyait sur une collection complexe d’informations de cyber-intelligence.
Violations de données et prévention de la fraude
Les personnes qui envoient des informations sensibles par courrier électronique, ou les initiés qui volent la propriété intellectuelle en quittant leur entreprise, sont deux exemples de ce que les CISO gèrent au quotidien. Ils utilisent des outils qui surveillent le flux d’informations dans une organisation pour détecter les grandes quantités de données quittant l’entreprise.
Quand Elon Musk a déclaré qu’un ingénieur chez Tesla avait été signalé pour l’envoi de code source à l’extérieur de l’entreprise, c’est l’équipe cybersécurité, sous la responsabilité du CISO qui l’avait découvert.
Architecture de la sécurité
Le CISO a un rôle d’architecte de sécurité. Il construit l’épine dorsale de la sécurité d’une entreprise. Parfois, il partie du début, parfois il part d’un existant. Il décide où, comment et pourquoi les pare-feu seront utilisés. C’est également lui qui prend des décisions sur la séparation ou la segmentation de certains réseaux. Il peut aussi faire appel à des testeurs d’intrusion ou à des pirates éthiques pour tester les défenses qu’ils a créées pour l’entreprise.
Si vous vous demandiez comment les logiciels de de ransomware WannaCry ou NotPetya se déplaçaient si rapidement entre différentes parties de certaines entreprises touchées, cela tient au fait que de nombreuses entreprises disposaient de réseaux «plats» sans aucun moyen de mettre en quarantaine l’attaque entre les business units. Un architecte de sécurité aurait pu les aider à construire, pro-activement, un réseau plus résilient.
Gestion des identités et des accès
Les CISOs ont la responsabilité des informations d’identification. C’est généralement un membre d’une équipe de cybersécurité qui vous attribue votre nom d’utilisateur et votre mot de passe auprès d’une nouvelle société. Ces professionnels déterminent qui a accès à quels outils, qui reçoit quelles adresses e-mail et la rapidité avec laquelle ces informations sont supprimées dès lors que quelqu’un est licencié ou quitte la société.
Ce dernier point est essentiel. Et, s’il est mal géré, il peut entraîner d’importantes pertes de données. Dans une affaire célèbre impliquant une société d’ingénierie du Tennessee, un ancien employé a pu accéder à des informations précieuses pendant plusieurs années après son départ chez un concurrent, car ses informations d’identification n’avaient jamais été supprimées.
Gestion de programme
Une fois qu’une entreprise a mesuré ses risques, rassemblé des informations et cartographié l’emplacement de ses données, elle peut identifier des vulnérabilités. Pour combler ces lacunes, les entreprises lancent des projets et des programmes. Les responsables de programmes de cybersécurité n’ont pas toujours une formation technique approfondie. Par contre, ils savent comment créer et gérer de nouvelles initiatives destinées à renforcer la sécurité de l’entreprise.
Un exemple de programme commun serait la mise à jour des systèmes avec des correctifs de sécurité sur une base régulière. Lorsque la gestion du programme est mal gérée, vous pouvez oublier des correctifs, comme celui qui a conduit à la violation massive des données chez Equifax et qui a coûté son poste à Richard Smith, son CEO.
Investigations et enquêtes légales
En outres, les CISO sont les «flics» du département cybersécurité, et bon nombre d’entre eux sont issus de la police. Lorsqu’un incident se produit, ils peuvent travailler avec des agences légales extérieures, des sociétés de conseil, des agences gouvernementales ou parfois seuls pour mener des enquêtes judiciaires. Si un employé se fait prendre à envoyer du code source par courrier électronique, ce sont les employés de l’équipe cybersécurité qui prouveront ensemble ce qui s’est produit et qui peuvent ensuite l’auditionner à ce sujet.
Lorsque le Comité national démocrate a mobilisé Crowdstrike et travaillé avec le FBI sur des attaques par courrier électronique présumées au cours de la campagne de 2016, il s’agissait de deux équipes de professionnels des enquêtes qui ont en partie tenté de déterminer qui avait perpétré l’attaque. Les résultats de l’investigation légale sont ceux que vous pouvez lire dans l’acte d’accusation de 12 ressortissants russes publié en juillet dernier par Rod Rosenstein.
Gouvernance
Tout cela peut coûter très cher. Ces employés peuvent aider à gérer le budget et à fournir d’autres types de supervision. Les programmes de sécurité doivent continuer à fonctionner sans quoi ils risquent de ne jamais être finis. Les réglementations changent fréquemment, et des employés doivent être embauchés pour ces postes. Une bonne gouvernance peut impliquer la mise en place d’un cadre basé sur des facteurs importants pour l’entreprise et le bon fonctionnement de l’ensemble de l’organisation de cybersécurité. Un manque de gouvernance peut entraîner de gros problèmes. Par exemple les dirigeants ne sont jamais clairement informés des problèmes informatiques majeurs de leur organisation. Ou encore les hauts responsables ne reçoivent jamais une formation adéquate sur la détection des tentatives de phishing.
En fin de compte, la sécurité concerne les personnes
La profession de sécurité a maintenant bien défini l’ensemble de ces rôles, mais en 1994, Katz était parti de zéro.
Le monde des télécommunications et Internet commençaient tout juste à se développer. Le pirate informatique, Levin, avait tenté de voler 10 millions de dollars. Il avait joué avec le système de transfert de fonds international, qui était exploité sur des lignes téléphoniques.
Des employés de Citi découvrirent la fraude en examinant les transactions par fil. Ils virent les anomalies et remontèrent une alerte rouge à la haute direction.
«Cela montre l’importance des personnes dans le processus global de sécurité de l’information. Votre plus grand risque et votre plus grand atout », a-t-il déclaré.
La police arrêta ensuite Levin à l’aéroport JFK de New York. Un tribunal de district le condamna ensuite à trois ans de prison pour ses crimes.
Sur ces fonds volés, tout a été récupéré, sauf 400 000 dollars, a expliqué Katz. Ce montant est largement inférieur à celui de nombreuses cyber-attaques courantes en 2019.
Les 5 qualités essentielles d’un CISO
L’année dernière, un rapport du Ponemon Institute intitulé «L’évolution du rôle des CISO et leur importance pour l’entreprise» – montrait que le rôle du CISO devenait de plus en plus crucial dans le monde actuel de menaces omniprésentes de cybersécurité, en particulier en matière de gestion des risques de l’entreprise, en déployant des analyses de sécurité et en protégeant les dispositifs Internet of Things (IoT).
Cependant, un autre élément clé du rapport est que le rôle du responsable de la sécurité de l’information s’élargit depuis quelques années. Il est ainsi passé de responsable des services de sécurité (RSSI) à responsable de l’ensemble de l’organisation en matière de sécurité (CISO). Aujourd’hui, ce rôle incarne une position de leader. Celai nécessite une présence au sein la direction, d’excellentes compétences en communication et une pensée vive et organisée. En tant que tel, le CISO doit non posséder une expertise technique et des compétences en leadership. Mais il doit également comprendre les activités de son entreprise et pouvoir exprimer les priorités de sécurité d’un point de vue commercial.
Mais qu’est-ce que cela signifie vraiment pour les responsables de la sécurité de l’information en poste aujourd’hui? Quelles sont les qualités les plus importantes que doivent posséder les CISO pour intégrer la sécurité dans tous les processus métier et assumer le rôle de leader dans une stratégie de sécurité informatique à l’échelle de l’entreprise? Considérons cinq des plus importantes.
1. Il doit comprendre la mission de l’entreprise et aligner la sécurité sur les objectifs de l’entreprise.
Le CISO se confronte au défi de la nécessité de trouver un équilibre la sécurité et les besoins du business. Les entreprises d’aujourd’hui ont besoin d’informations pour pouvoir fonctionner. Certes, un CISO peut créer une forteresse totalement inviolable et indestructible pour protéger l’entreprise. Les informations seront protégées mais elles ne pourront tout simplement pas s’en échapper. Mais une telle forteresse empêchera probablement le business de travailler et l’entreprise de gagner de l’argent.
Un excellent CISO examine la situation dans son ensemble. Il doit aligner ses objectifs sur les objectifs généraux de l’entreprise et sur sa mission actuelle. Son rôle n’est pas de contrôler l’entreprise. Par contre, son rôle est de lui permettre de réaliser ce qu’elle doit accomplir de manière relativement sûre. Cela nécessite de la planification et une bonne communication avec les autres parties prenantes de l’organisation afin de garantir l’efficacité du programme de sécurité et de l’aligner correctement sur les objectifs généraux de l’entreprise. Dans la mesure où la sécurité de l’information est en concurrence avec les autres objectifs de l’entreprise, un bon CISO s’assurera que la stratégie sera validée, approuvée et formalisée par un conseil ou un comité de gouvernance interne composé des parties prenantes de l’informatique et du management.
2. Il doit avoir une présence exécutive et la capacité d’influencer le conseil d’administration
Une grande partie du travail d’un CISO consiste à communiquer directement avec le conseil d’administration. Selon l’étude du Ponemon Institute, 65% des CISO dépendent directement du conseil d’administration. D’après cette étude, 60% sont responsables d’informer l’organisation sur les nouvelles menaces, technologies, pratiques et exigences de conformité. Enfin, 60% sont directement rattachés à la Direction Générale.
Cependant, la majorité des membres du conseil ne comprennent généralement pas le langage de la sécurité de l’information. Cela signifie que le CISO doit avoir la capacité de traduire leurs exigences, leurs objectifs et leurs rapports en des termes qu’un conseil d’administration peut parfaitement comprendre et, au final, développer sa crédibilité et leur confiance.
Cela nécessite une présence de la direction. C’est ce que Harvard Business Review définit comme «la capacité de projeter une confiance en soi mature, un sentiment que vous pouvez prendre le contrôle de situations difficiles et imprévisibles; prenez des décisions difficiles en temps utile et tenez bon avec les autres membres talentueux et volontaires de l’équipe de direction». Un CISO efficace aura donc une présence forte au sein de l’équipe de direction. Il l’utilisera non seulement pour représenter la position de la société en matière de sécurité, mais aussi pour influencer les autres dirigeants de manière cohérente avec les buts et objectifs de sécurité, et pour établir et entretenir des relations de travail efficaces avec tous les membres du conseil d’administration.
3. Il doit posséder des compétences de leadership exceptionnelles
Une bonne sécurité est le résultat d’un effort d’équipe. Il s’agit d’un processus métier continu qui nécessite l’adhésion des employés et des dirigeants de l’ensemble de l’organisation. Le poste de CISO comporte des aspects basés sur la technologie. Cependant, à de nombreux égards, le succès dépend de sa capacité de communiquer, à créer des relations, à déléguer et à diriger par l’influence, par opposition à une poigne de fer.
Il est essentiel que les CISO établissent des relations de confiance plutôt que d’imposer leur autorité sur les employés. La plupart des employés ne se considèrent pas comme une menace à la sécurité de l’entreprise. Mais les actions qu’ils entreprennent, leur prise de conscience des risques et la manière dont ils utilisent leurs propres dispositifs informatiques ainsi que ceux de l’organisation lorsqu’ils sont connectés au réseau sont susceptibles d’ouvrir la voie à des cyberattaques. En tant que tels, les CISO ont une responsabilité en matière d’application. Les bons CISOs, cependant, ne gouverneront pas par décret. A l’inverse, ils donneront aux membres de l’équipe de l’ensemble de l’organisation l’opportunité de prendre une part active à la gestion des risques liés à l’information.
En outre, le CISO doivt clairement définir qui participe à la prise de décision en matière de sécurité. Et son rôle est de veiller à ce que ces personnes disposent également des capacités et des compétences nécessaires pour prendre des décisions en matière de gestion des risques de l’entreprise. La documentation joue ici un rôle clé dans la réduction de la complexité de la synchronisation des rôles et des responsabilités entre les individus et les unités métiers. Le CISO s’assurera qu’il n’y a pas de faille de couverture, que la sécurité est bien gérée à tous les niveaux des départements et que les actifs de la société sont protégés.
4. Il doit se concentrer sur sa propre éducation et sur son développement personnel
Le champ de la cybersécurité évolue constamment et de nouvelles menaces apparaissent en permanence. Les CISO doivent consacrer une part importante de leur activité à la formation continue et à rechercher des sources d’information qui les tiennent au courant de tous les développements en matière de cyber-menaces et de sécurité informatique.
Bien entendu, les enjeux sont extrêmement élevés. Les cybercriminels sont constamment à la recherche de faiblesses dans les organisations qu’ils peuvent cibler. Le CISO doit maintenir un fossé aussi large que possible entre les cybercriminels et les programmes de sécurité de l’organisation. Et cela n’est possible qu’avec un apprentissage continu.
Pour cette raison, chaque CISO doit s’engager dans un développement personnel continu. Cela se traduit dans des programmes de formation et d’éducation pour se familiariser avec les technologies émergentes, les nouvelles exigences de conformité et le besoin perpétuel d’amélioration de la sécurité.
5. Il doit maintenir l’éthique en matière de cybersécurité au premier plan
L’éthique joue un rôle crucial dans toute stratégie de défense rationnelle en matière de cybersécurité. En l’absence de normes et de règles claires, il est pratiquement impossible de distinguer les responsables de la sécurité des criminels contre lesquels ils sont censés protéger les données et les systèmes de l’organisation.
À mesure que le volume de données qu’une organisation collecte sur ses clients, ses prospects, ses employés et d’autres personnes augmente, sa responsabilité de gestion et de protection de ces données augmente également. La confidentialité des données est étroitement liée à la sécurité, et CISO doit mener activement des discussions sur la quantité d’informations personnelles identifiables conservées et sur la quantité de données anonymisées. En outre, le CISO doit mettre en œuvre et appliquer une politique de pratiques éthiques à suivre par le personnel informatique et de sécurité, et réviser cette politique régulièrement conformément aux dernières réglementations et directives.
Le CISO doit également disposer d’un plan de réponse complet en cas d’incident à activer immédiatement en cas d’infraction. Il est important de noter que ce plan doit contenir évidemment des détails techniques sur la manière de réagir. Mail il doit aussi comporter des instructions pratiques à l’intention des équipes juridiques, qui tiennent également compte de considérations éthiques essentielles. Le temps est bien sûr un facteur important pour réagir à une cyber-attaque. Informer les clients de tout impact, tel que le vol de données et d’informations d’identification, devrait donc faire partie intégrante du plan d’intervention.
Après une cyber-attaque les clients se sentent vulnérables. Aussi, le manque de transparence soulève-t-il logiquement de sérieuses questions sur les normes éthiques de l’entreprise. Une entreprises victime d’une violation de données est souvent sujette à des poursuites. De plus, elle subira presque toujours des dommages à la réputation. En outre, tout retard sur l’annonce publique peut aggraver ces conséquences.
Conclusion
En résumé, un bon CISO possède un excellent esprit de leadership. Il est capable d’exercer une présence affirmée dans la salle de conseil d’administration. Sa capacité de communiquer efficacement sur la mission de sécurité est primordiale. Il doit également établir des relations solides au sein de l’entreprise. Enfin il est responsable de l’alignement des programmes de sécurité des informations sur les objectifs de l’entreprise. En outre, il doit s’engager pour sa formation continue et son développement personnel. Il doit également placer l’éthique en matière de cybersécurité et la réputation de l’entreprise au centre de toutes ses activités. Les entreprises du monde entier font aujourd’hui face à des menaces de plus en plus sophistiquées. Celles-ci proviennent d’une multitude de sources différentes. Dès lors, un bon CISO doté des compétences et des qualités requises est plus crucial et plus précieux que jamais.
En France et dans de nombreux pays francophones, on a l’habitude de nommer un RSSI au lieu d’un CISO. Pourtant le positionnement hiérarchique et les responsabilités sont différents. Qu’en pensez-vous? Merci d’apporter vos réactions et vos expériences en commentaire.