Home » Posts tagged 'BCM'

Tag Archives: BCM

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

BCM – Préparez-vous à survivre en cas de crise!

Dans un monde de plus en plus risqué, tout peut arriver à tout instant : une catastrophe naturelle, une cyber-attaque, une pandémie, un incendie. Attendre que l’accident arrive serait condamner votre entreprise à une mort plus que probable. Alors inutile d’attendre. Préparez-vous dès maintenant à survivre à une crise lorsqu’elle arrivera.

BCM - gestion de la continuité des affaires
Crédit photo © garagestock

Nous démarrons aujourd’hui une nouvelle série d’articles consacrés à la Gestion de la Continuité des Activités. Il s’agit une problématique concernant tous les types d’organisations, quelle que soit leur taille. D’ailleurs, de plus en plus de réglementations sectorielles et de lois nationales imposent l’existence d’un processus de gestion de la continuité des activités pour certains types d’entreprises (banques, opérateurs télécoms, santé, agro-alimentaire, etc.). Il est également important d’éviter une confusion fréquente et de bien distinguer la gestion de la continuité des activités business d’une organisation, dont nous parlerons ici, de la continuité informatique qui fera l’objet d’un futur article. Ainsi, la continuité informatique ne peut pas exister sans une Gestion de la Continuité des Activités Business dont elle n’est qu’une conséquence.


Vous êtes à la maison, et on vous apprend qu’un incendie majeur touche votre entreprise… Le temps s’arrête et les questions surgissent dans votre tête : „ Est-ce que les employés sont en sécurité? „ Quelles sont les conséquences, qu’avons-nous perdu? „ Combien de temps serons-nous affectés? Que doit-on prioriser?


Toute entreprise est exposée à de nombreux risques. Ces risques lorsqu’ils sont liés à des incidents majeurs, peuvent avoir des impacts considérables au niveau des opérations. Cependant l’impact le plus important se concrétisera au niveau de la confiance et de l’image. Vos clients risquent alors de vous abandonner. Vos investisseurs risquent également de reprendre leurs fonds, privant l’entreprise de moyens d’opérer. Nous allons donc essayer au travers de cet article de voir quelles sont les bonnes pratiques de gestion de la continuité des activités.

La continuité des activités (Business Continuity Management ou BCM), c’est établir à l’avance, sans les facteurs d’urgence et de panique, comment votre entreprise réagira si un incident survient. Elle permet de mettre en place des stratégies pour diminuer les effets de l’incident sur votre environnement, sur vos actifs, vos activités, vos revenus et votre réputation.

Qu’est-ce que la Gestion de la Continuité des Activités (BCM)?

La continuité des activités business

La continuité des activités (Business Continuity Management ou BCM), c’est établir à l’avance, sans les facteurs d’urgence et de panique, comment votre entreprise réagira si un incident survient. Elle permet de mettre en place des stratégies pour diminuer les effets de l’incident sur votre environnement, sur vos actifs, vos activités, vos revenus et votre réputation. La gestion de la continuité des activités commence donc par l’élaboration de votre plan de continuité business (BCP).

Dans cet article, nous vous présentons les différentes étapes à suivre pour construire votre plan de continuité des activités. Celui-ci devra être simple, efficace et orienté vers l’action. Il sera structuré pour vous permettre de faire face à tout type de situation. Vous devrez déterminer préalablement quelles seront les responsabilités de chacun et les procédures à suivre afin d’éviter de dépendre uniquement de la débrouillardise des individus pour faire face au sinistre. Finalement, il sera important que ce plan soit mis en pratique et tenu à jour afin de demeurer pertinent. Le chef d’entreprise devra donc s’impliquer dans la démarche, et un responsable devra être assigné.


Êtes-vous bien préparé aux catastrophes naturelles et aux phénomènes météorologiques extrêmes? Selon une étude récente d’Environnement Canada, les événements météorologiques extrêmes qui survenaient tous les 40 ans reviennent maintenant tous les 6 ans.

Que feriez-vous en cas de cyberattaque? Selon le gouvernement canadien, environ 70 % des entreprises canadiennes ont été victimes de cyber-attaque l’an dernier, avec un coût moyen de 15 000 $ par incident.

 La question n’est donc plus de savoir SI, mais bien QUAND votre entreprise aura à faire face à un incident.


Qu’est-ce qu’un incident?

Un incident, c’est une situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou une crise. L’incident peut être mineur, comme une perte temporaire d’accès à vos locaux. Il peut aussi être majeur, comme la perte complète de vos systèmes informatiques. Il peut être d’origine naturelle (inondation, incendie), social (grève, émeute) ou technologique (cyber-attaque, etc.).

Pourquoi entreprendre une démarche de continuité des activités (BCM)?

Dans le cas où une urgence se produit, vos employés pourraient être dans l’incapacité d’accéder au lieu de travail. Vos fournisseurs pourraient également ne pas être en mesure de vous fournir le matériel ou les services nécessaires à la poursuite de vos activités. Les incidents provoquant une interruption peuvent survenir n’importe quand et affecter toute entreprise.

Les changements climatiques auront une incidence sur la fréquence et l’ampleur des événements météorologiques auxquels votre entreprise ou vos partenaires pourraient avoir à faire face. De plus, de nouveaux risques émergents, comme les cyberattaques, peuvent aussi concerner tout type d’organisation.

Un plan de continuité des activités vous permet de bénéficier de plusieurs avantages :

  • Réponses plus efficaces lors d’un incident afin :
    • de protéger la vie des employés et les actifs de l’entreprise; ƒ
    • de limiter les pertes matérielles et financières; ƒ
    • d’assurer la poursuite des activités essentielles en permettant ainsi de préserver les revenus et la réputation, et de faciliter le retour à la normale.
  • Implantation de solutions qui réduiront votre vulnérabilité aux incidents et qui augmenteront votre résilience et votre robustesse dans vos opérations normales. „
  • Mise en évidence de l’image d’une entreprise responsable à l’intention des employés, clients, actionnaires, investisseurs, banques et assureurs. „
  • Avantage concurrentiel, car vous pourrez maintenir vos activités même en cas d’incident. „
  • Conformité aux attentes de clients qui peuvent requérir un plan de continuité des activités formalisé. „
  • Respect d’exigences propres à votre secteur telles que les normes AS9100 et IATF 16949 dans le domaine aérospatial, le code SQF dans le domaine alimentaire, Bale III pour le secteur financier ou encore la loi sur les télécommunications (France, Cote d’Ivoire, …) ou les règles de l’Autorité des marchés financiers (AMF) au Canada, .

Etes-vous prêts à affronter un sinistre?

Vous serez peut-être surpris et rassuré d’apprendre que des mesures déjà en place au sein de votre entreprise pourraient vous permettre de répondre à certains scénarios d’incident, tels un problème informatique ou une perte d’accès à votre site opérationnel.

Avant que vous entrepreniez une démarche structurante en continuité des activités, il est recommandé que vous effectuiez une auto-évaluation de votre état de préparation. Ainsi, vous pourrez mieux cerner les enjeux, déceler les forces et les faiblesses de votre entreprise en matière de continuité des activités et comprendre où des efforts seront nécessaires pour répondre adéquatement à un incident.

Éléments potentiellement déjà en place dans votre entreprise (énumération non exhaustive):

  • Capacité de travailler à distance (télétravail); „
  • Produits fournis et/ou services offerts sur plus d’un emplacement; „
  • Systèmes informatiques (courriels, applications informatiques, données) dans le cloud; „
  • Procédures de sauvegarde des données à l’externe; „
  • Plan de sécurité incendie; „
  • Coordonnées des employés et des partenaires business à jour et disponibles à l’extérieur du bureau; „
  • Procédure d’alerte et de mobilisation en cas d’urgence; „
  • Programme de maintenance des équipements; „
  • Stock réparti sur deux emplacements ou distinct de l’environnement de production; „
  • Fournisseurs de remplacement; „
  • Formation croisée des employés ou processus documentés.

Si ce n’est pas déjà fait, dressez une liste des coordonnées des employés et des partenaires clés pour les joindre pendant les heures normales d’ouverture et en dehors de celles-ci. Conservez cette liste à portée de main à l’extérieur de votre site professionnel.


Comment élaborer un plan de continuité?

Pour élaborer un plan de continuité des activités et s’assurer qu’il sera fonctionnel lors d’un incident, quatre grandes étapes sont à suivre. Celles-ci requerront le soutien de la direction et l’implication de tous les secteurs de l’entreprise. Des outils sont disponibles sur le net (par exemple le formulaire d’auto-évaluation élaboré par le Gouvernement du Québec) pour vous soutenir dans la réalisation de chacune de ces étapes. Quand vous aurez rempli les outils, il vous sera ensuite facile de constituer votre plan de continuité des activités.

Plan de Continuité des Activités
Crédit © Gouvernement du Québec

La planification est aussi importante que le plan lui-même.

Le processus d’élaboration d’un plan de continuité des activités est de plus en plus formalisé. Des normes nationales  et internationales (ISO 22301) ainsi que de bonnes pratiques (Business Continuity Institute et Disaster Recovery Institute) définissent les éléments que devrait comporter ce processus.


Dans nos prochains articles consacrés à Gestion de la Continuité des Activités, nous aborderons successivement ces quatre étapes.

Comment démarrer sa Gestion de la Continuité des Activités?

Avant de démarrer vos activités de planification de la gestion de la continuité des activités nous vous invitons à faire suivre aux personnes qui en seront directement en charge, une formation BCM Foundation (les fondamentaux de la Gestion de la continuité des activités).

Si vous êtes confrontés à cette problématique ou si vous avez été victimes d’un sinistre, nous vous invitons à poster vos commentaires. Ceux-ci aideront sans aucun doute d’autres lecteurs confrontés aux mêmes problèmes.

Catégories

Archives

Calendrier

février 2019
L M M J V S D
« Jan    
 123
45678910
11121314151617
18192021222324
25262728  
%d blogueurs aiment cette page :