{"id":8293,"date":"2019-03-08T10:00:15","date_gmt":"2019-03-08T09:00:15","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=8293"},"modified":"2019-03-10T15:57:17","modified_gmt":"2019-03-10T14:57:17","slug":"ciso-10-raisons-de-recruter","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/ciso-10-raisons-de-recruter","title":{"rendered":"10 raisons majeures pour embaucher un CISO"},"content":{"rendered":"\r\n

Dans un pr\u00e9c\u00e9dent article, nous avons pass\u00e9 en revue <\/em>les responsabilit\u00e9s et les comp\u00e9tences indispensables d’un CISO.<\/em><\/a> Dans un monde en pleine transformation num\u00e9rique, la s\u00e9curit\u00e9 de l’information et la cybers\u00e9curit\u00e9 sont des pr\u00e9occupations vitales. Je vous propose donc, aujourd’hui de revenir, au travers de quelques exemples, sur les raisons pour lesquelles toute organisation doit absolument avoir un CISO. Nous \u00e9voquerons aussi les contraintes, la position hi\u00e9rarchique, les salaires et les risques courus par les CISO.<\/em><\/p>\r\n\r\n\r\n\r\n

\"CISO\r\n
Cr\u00e9dit \u00a9 rawpixel.com 2019<\/figcaption>\r\n<\/figure>\r\n\r\n\r\n\r\n

Chaque jour apporte son lot de nouvelles informations alarmantes en mati\u00e8re de cybers\u00e9curit\u00e9. Cela va de l’int\u00e9grit\u00e9 des \u00e9lections, ou d’informations bancaires vol\u00e9es \u00e0 la derni\u00e8re cyber-attaque contre l’ICANN<\/a>. Vous avez sans doute l’impression qu’il vous faut un d\u00e9codeur pour comprendre tout cela. Surtout quand ce n’est pas votre m\u00e9tier, c’est d’autant plus inqui\u00e9tant qu’on n’y comprend rien. Pourtant cela semble tr\u00e8s grave si on se fie \u00e0 la mine sinistre des dirigeants qui communiquent sur le sujet. Alors, info ou intox?<\/p>\r\n\r\n

Une fa\u00e7on de commencer \u00e0 d\u00e9chiffrer le jargon et l’intrigue consiste \u00e0 essayer de voir ces probl\u00e8mes sous l’angle du Directeur de la S\u00e9curit\u00e9 de l’Information (CISO). Le CISO est g\u00e9n\u00e9ralement le plus haut responsable de la cybers\u00e9curit\u00e9, membre du comit\u00e9 de direction, au sein d’une entreprise.<\/p>\r\n

Un peu d’histoire<\/h2>\r\n

Le r\u00f4le de CISO remonte \u00e0 1994. Le g\u00e9ant bancaire Citigroup (alors Citi Corp. Inc.) avait \u00e9t\u00e9 victime d\u2019une s\u00e9rie de cyber-attaques d\u2019un pirate informatique russe, Vladimir Levin. La banque a cr\u00e9\u00e9 le premier bureau ex\u00e9cutif mondial d\u00e9di\u00e9 \u00e0 la cybers\u00e9curit\u00e9. Elle a engag\u00e9 Steve Katz pour le diriger.<\/p>\r\n

Aujourd’hui, Katz est un nom de premier plan dans l’industrie. Il travaille comme consultant en cybers\u00e9curit\u00e9 et a toujours soutenu des initiatives de partage d\u2019informations de grande valeur en finance, et plus r\u00e9cemment dans le domaine de la sant\u00e9.<\/p>\r\n

Selon Katz, il est important que les gens comprennent les responsabilit\u00e9s de ceux qui supervisent la cybers\u00e9curit\u00e9. De cette fa\u00e7on, ils sont mieux pr\u00e9par\u00e9s \u00e0 interpr\u00e9ter les gros titres et \u00e0 savoir distinguer ce qui compte vraiment.<\/p>\r\n

Les investisseurs doivent \u00e9galement comprendre le fonctionnement de leur entreprise. De plus en plus de soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 arrivent sur un march\u00e9 encombr\u00e9. Elles cherchent du business, des fonds de capital-risque ou de nouveaux capitaux provenant d’une introduction en bourse.<\/p>\r\n

Les responsabilit\u00e9s du CISO<\/h2>\r\n

Les responsabilit\u00e9s du CISO varient. Elles \u00e9voluent selon le secteur d’activit\u00e9, la taille de l’entreprise et la r\u00e9glementation \u00e0 laquelle l’organisation est soumise. Des entreprises diff\u00e9rentes structurent la cybers\u00e9curit\u00e9 de mani\u00e8res diff\u00e9rentes. Cependant il existe de nombreux th\u00e8mes communs.<\/p>\r\n

Dans les grandes organisations, le CISO supervise souvent une \u00e9quipe de professionnels de la s\u00e9curit\u00e9 travaillant pour l’entreprise. Les petites entreprises peuvent sous-traiter ce travail \u00e0 une entreprise externe fournissant des services g\u00e9r\u00e9s. Beaucoup font une combinaison des deux.<\/p>\r\n

Nous avons compil\u00e9 cette liste des responsabilit\u00e9s du CISO sur la base de recherches issues de ressources publiques, priv\u00e9es et universitaires ainsi que des offres d’emploi et d’entretiens avec des responsables de la cybers\u00e9curit\u00e9 et des dirigeants qui les embauchent.<\/p>\r\n

Op\u00e9rations de s\u00e9curit\u00e9<\/h3>\r\n

Cette fonction implique une analyse en temps r\u00e9el des menaces. Cela comprend la supervision des outils permettant de surveiller les pare-feu, les points d\u2019entr\u00e9e, les bases de donn\u00e9es et d\u2019autres environnements internes d\u2019une entreprise. Quand quelque chose ne va pas, ces personnes sont cens\u00e9es d\u00e9couvrir et classifier les probl\u00e8mes.<\/p>\r\n

Cyber-risques et cyber-intelligence<\/h3>\r\n

Les conseils d’administration demandent souvent au CISO de prendre les devants face aux nouveaux types d’attaques<\/a> qui pourraient \u00eatre nuisibles, aux transactions commerciales qui pourraient pr\u00e9senter un risque de violation ou \u00e0 de nouveaux produits susceptibles d’affaiblir la s\u00e9curit\u00e9.<\/p>\r\n

En 2017, Verizon a fait baisser de 350 millions de dollars le prix d\u2019achat de Yahoo. Cela faisait suite \u00e0 la r\u00e9v\u00e9lation qu’une violation de donn\u00e9es avait touch\u00e9 plus de personnes que Yahoo n’avait d\u00e9clar\u00e9. C’est un exemple d’\u00e9valuation \u00a0du co\u00fbt d’un risque de cybers\u00e9curit\u00e9 par Verizon. \u00a0Apparemment, la soci\u00e9t\u00e9 aurait d’ailleurs souhait\u00e9 un rabais plus important, pouvant atteindre 925 millions de dollars.<\/p>\r\n

Lorsqu’un haut responsable du bureau du directeur du renseignement national a d\u00e9clar\u00e9 \u00e0 un panel \u00e0 Aspen<\/a> que des agents iraniens poss\u00e9daient des cyber-armes ciblant les infrastructures am\u00e9ricaines, il s’appuyait sur une collection complexe d’informations de cyber-intelligence.<\/p>\r\n

Violations de donn\u00e9es et pr\u00e9vention de la fraude<\/h3>\r\n

Les personnes qui envoient des informations sensibles par courrier \u00e9lectronique, ou les initi\u00e9s qui volent la propri\u00e9t\u00e9 intellectuelle en quittant leur entreprise, sont deux exemples de ce que les CISO g\u00e8rent au quotidien. Ils utilisent des outils qui surveillent le flux d\u2019informations dans une organisation pour d\u00e9tecter les grandes quantit\u00e9s de donn\u00e9es quittant l\u2019entreprise.<\/p>\r\n

Quand Elon Musk a d\u00e9clar\u00e9 qu’un ing\u00e9nieur chez Tesla avait \u00e9t\u00e9 signal\u00e9 pour l’envoi de code source \u00e0 l’ext\u00e9rieur de l’entreprise, c’est l’\u00e9quipe cybers\u00e9curit\u00e9, sous la responsabilit\u00e9 du CISO qui l’avait d\u00e9couvert.<\/p>\r\n

Architecture de la s\u00e9curit\u00e9<\/h3>\r\n

Le CISO a un r\u00f4le d’architecte de s\u00e9curit\u00e9. Il construit l\u2019\u00e9pine dorsale de la s\u00e9curit\u00e9 d\u2019une entreprise. Parfois, il partie du d\u00e9but, parfois il part d’un existant. Il d\u00e9cide o\u00f9, comment et pourquoi les pare-feu seront utilis\u00e9s. C’est \u00e9galement lui qui prend des d\u00e9cisions sur la s\u00e9paration ou la segmentation de certains r\u00e9seaux. Il peut aussi faire appel \u00e0 des testeurs d’intrusion ou \u00e0 des pirates \u00e9thiques pour tester les d\u00e9fenses qu’ils a cr\u00e9\u00e9es pour l’entreprise<\/a>.<\/p>\r\n

Si vous vous demandiez comment les logiciels de de ransomware WannaCry ou NotPetya se d\u00e9pla\u00e7aient si rapidement entre diff\u00e9rentes parties de certaines entreprises touch\u00e9es, cela tient au fait que de nombreuses entreprises disposaient de r\u00e9seaux \u00abplats\u00bb sans aucun moyen de mettre en quarantaine l’attaque entre les business units. Un architecte de s\u00e9curit\u00e9 aurait pu les aider \u00e0 construire, pro-activement, un r\u00e9seau plus r\u00e9silient.<\/p>\r\n

Gestion des identit\u00e9s et des acc\u00e8s<\/h3>\r\n

Les CISOs ont la responsabilit\u00e9 des informations d’identification. C’est g\u00e9n\u00e9ralement un membre d’une \u00e9quipe de cybers\u00e9curit\u00e9 qui vous attribue votre nom d’utilisateur et votre mot de passe aupr\u00e8s d’une nouvelle soci\u00e9t\u00e9. Ces professionnels d\u00e9terminent qui a acc\u00e8s \u00e0 quels outils, qui re\u00e7oit quelles adresses e-mail et la rapidit\u00e9 avec laquelle ces informations sont supprim\u00e9es d\u00e8s lors que quelqu’un est licenci\u00e9 ou quitte la soci\u00e9t\u00e9.<\/p>\r\n

Ce dernier point est essentiel. Et, s\u2019il est mal g\u00e9r\u00e9, il peut entra\u00eener d’importantes pertes de donn\u00e9es. Dans une affaire c\u00e9l\u00e8bre impliquant une soci\u00e9t\u00e9 d’ing\u00e9nierie du Tennessee, un ancien employ\u00e9 a pu acc\u00e9der \u00e0 des informations pr\u00e9cieuses pendant plusieurs ann\u00e9es apr\u00e8s son d\u00e9part chez un concurrent<\/a>, car ses informations d’identification n’avaient jamais \u00e9t\u00e9 supprim\u00e9es.<\/p>\r\n

Gestion de programme<\/h3>\r\n

Une fois qu’une entreprise a mesur\u00e9 ses risques, rassembl\u00e9 des informations et cartographi\u00e9 l’emplacement de ses donn\u00e9es, elle peut identifier des vuln\u00e9rabilit\u00e9s. Pour combler ces lacunes, les entreprises lancent des projets et des programmes. Les responsables de programmes de cybers\u00e9curit\u00e9 n\u2019ont pas toujours une formation technique approfondie. Par contre, ils savent comment cr\u00e9er et g\u00e9rer de nouvelles initiatives destin\u00e9es \u00e0 renforcer la s\u00e9curit\u00e9 de l\u2019entreprise.<\/p>\r\n

Un exemple de programme commun serait la mise \u00e0 jour des syst\u00e8mes avec des correctifs de s\u00e9curit\u00e9 sur une base r\u00e9guli\u00e8re. Lorsque la gestion du programme est mal g\u00e9r\u00e9e, vous pouvez oublier des correctifs, comme celui qui a conduit \u00e0 la violation massive des donn\u00e9es chez Equifax et qui a co\u00fbt\u00e9 son poste \u00e0 Richard Smith, son CEO<\/a>.<\/p>\r\n

Investigations et enqu\u00eates l\u00e9gales<\/h3>\r\n

En outres, les CISO sont les \u00abflics\u00bb du d\u00e9partement cybers\u00e9curit\u00e9, et bon nombre d’entre eux sont issus de la police. Lorsqu’un incident se produit, ils peuvent travailler avec des agences l\u00e9gales ext\u00e9rieures, des soci\u00e9t\u00e9s de conseil, des agences gouvernementales ou parfois seuls pour mener des enqu\u00eates judiciaires. Si un employ\u00e9 se fait prendre \u00e0 envoyer du code source par courrier \u00e9lectronique, ce sont les employ\u00e9s de l’\u00e9quipe cybers\u00e9curit\u00e9 qui prouveront ensemble ce qui s’est produit et qui peuvent ensuite l’auditionner \u00e0 ce sujet.<\/p>\r\n

Lorsque le Comit\u00e9 national d\u00e9mocrate a mobilis\u00e9 Crowdstrike et travaill\u00e9 avec le FBI sur des attaques par courrier \u00e9lectronique pr\u00e9sum\u00e9es au cours de la campagne de 2016, il s’agissait de deux \u00e9quipes de professionnels des enqu\u00eates qui ont en partie tent\u00e9 de d\u00e9terminer qui avait perp\u00e9tr\u00e9 l’attaque. Les r\u00e9sultats de l’investigation l\u00e9gale sont ceux que vous pouvez lire dans l’acte d’accusation de 12 ressortissants russes<\/a> publi\u00e9 en juillet dernier par Rod Rosenstein.<\/p>\r\n

Gouvernance<\/h3>\r\n

Tout cela peut co\u00fbter tr\u00e8s cher. Ces employ\u00e9s peuvent aider \u00e0 g\u00e9rer le budget et \u00e0 fournir d’autres types de supervision. Les programmes de s\u00e9curit\u00e9 doivent continuer \u00e0 fonctionner sans quoi ils risquent de ne jamais \u00eatre finis. Les r\u00e9glementations changent fr\u00e9quemment, et des employ\u00e9s doivent \u00eatre embauch\u00e9s pour ces postes. Une bonne gouvernance peut impliquer la mise en place d’un cadre bas\u00e9 sur des facteurs importants pour l’entreprise et le bon fonctionnement de l’ensemble de l’organisation de cybers\u00e9curit\u00e9. Un manque de gouvernance peut entra\u00eener de gros probl\u00e8mes. Par exemple les dirigeants ne sont jamais clairement inform\u00e9s des probl\u00e8mes informatiques majeurs de leur organisation. Ou encore les hauts responsables ne re\u00e7oivent jamais une formation ad\u00e9quate sur la d\u00e9tection des tentatives de phishing.<\/p>\r\n

En fin de compte, la s\u00e9curit\u00e9 concerne les personnes<\/h2>\r\n

La profession de s\u00e9curit\u00e9 a maintenant bien d\u00e9fini l’ensemble de ces r\u00f4les, mais en 1994, Katz \u00e9tait parti de z\u00e9ro.<\/p>\r\n

Le monde des t\u00e9l\u00e9communications et Internet commen\u00e7aient tout juste \u00e0 se d\u00e9velopper. Le pirate informatique, Levin, avait tent\u00e9 de voler 10 millions de dollars. Il avait jou\u00e9 avec le syst\u00e8me de transfert de fonds international, qui \u00e9tait exploit\u00e9 sur des lignes t\u00e9l\u00e9phoniques.<\/p>\r\n

Des employ\u00e9s de Citi d\u00e9couvrirent la fraude en examinant les transactions par fil. Ils virent les anomalies et remont\u00e8rent une alerte rouge \u00e0 la haute direction.<\/p>\r\n

\u00abCela montre l\u2019importance des personnes dans le processus global de s\u00e9curit\u00e9 de l\u2019information. Votre plus grand risque et votre plus grand atout \u00bb, a-t-il d\u00e9clar\u00e9.<\/p>\r\n

La police arr\u00eata ensuite Levin \u00e0 l’a\u00e9roport JFK de New York. Un tribunal de district le condamna ensuite \u00e0 trois ans de prison pour ses crimes.<\/p>\r\n

Sur ces fonds vol\u00e9s, tout a \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9, sauf 400 000 dollars, a expliqu\u00e9 Katz. Ce montant est largement inf\u00e9rieur \u00e0 celui de nombreuses cyber-attaques courantes en 2019.<\/p>\r\n

Les 5 qualit\u00e9s essentielles d’un CISO<\/h2>\r\n

L’ann\u00e9e derni\u00e8re, un rapport du Ponemon Institute intitul\u00e9 \u00abL’\u00e9volution du r\u00f4le des CISO et leur importance pour l’entreprise\u00bb – montrait que le r\u00f4le du CISO devenait de plus en plus crucial dans le monde actuel de menaces omnipr\u00e9sentes de cybers\u00e9curit\u00e9, en particulier en mati\u00e8re de gestion des risques de l’entreprise, en d\u00e9ployant des analyses de s\u00e9curit\u00e9 et en prot\u00e9geant les dispositifs Internet of Things (IoT).<\/p>\r\n

Cependant, un autre \u00e9l\u00e9ment cl\u00e9 du rapport est que le r\u00f4le du responsable de la s\u00e9curit\u00e9 de l\u2019information s’\u00e9largit depuis quelques ann\u00e9es. Il est ainsi pass\u00e9 de responsable des services de s\u00e9curit\u00e9 (RSSI) \u00e0 responsable de l\u2019ensemble de l\u2019organisation en mati\u00e8re de s\u00e9curit\u00e9 (CISO). Aujourd’hui, ce r\u00f4le incarne une position de leader. Celai n\u00e9cessite une pr\u00e9sence au sein la direction, d’excellentes comp\u00e9tences en communication et une pens\u00e9e vive et organis\u00e9e. En tant que tel, le CISO doit non poss\u00e9der une expertise technique et des comp\u00e9tences en leadership. Mais il doit \u00e9galement comprendre les activit\u00e9s de son entreprise et pouvoir exprimer les priorit\u00e9s de s\u00e9curit\u00e9 d’un point de vue commercial.<\/p>\r\n

Mais qu’est-ce que cela signifie vraiment pour les responsables de la s\u00e9curit\u00e9 de l’information en poste aujourd’hui? Quelles sont les qualit\u00e9s les plus importantes que doivent poss\u00e9der les CISO pour int\u00e9grer la s\u00e9curit\u00e9 dans tous les processus m\u00e9tier et assumer le r\u00f4le de leader dans une strat\u00e9gie de s\u00e9curit\u00e9 informatique \u00e0 l’\u00e9chelle de l’entreprise? Consid\u00e9rons cinq des plus importantes.<\/p>\r\n

1. Il doit comprendre la mission de l’entreprise et aligner la s\u00e9curit\u00e9 sur les objectifs de l’entreprise.<\/h3>\r\n

Le CISO se confronte au d\u00e9fi de la n\u00e9cessit\u00e9 de trouver un \u00e9quilibre la s\u00e9curit\u00e9 et les besoins du business. Les entreprises d\u2019aujourd\u2019hui ont besoin d\u2019informations pour pouvoir fonctionner. Certes, un CISO peut cr\u00e9er une forteresse totalement inviolable et indestructible pour prot\u00e9ger l’entreprise. Les informations seront prot\u00e9g\u00e9es mais elles ne pourront tout simplement pas s’en \u00e9chapper. Mais une telle forteresse emp\u00eachera probablement le business de travailler et l\u2019entreprise de gagner de l\u2019argent.<\/p>\r\n

Un excellent CISO examine la situation dans son ensemble. Il doit aligner ses objectifs sur les objectifs g\u00e9n\u00e9raux de l\u2019entreprise et sur sa mission actuelle. Son r\u00f4le n\u2019est pas de contr\u00f4ler l\u2019entreprise. Par contre, son r\u00f4le est de lui permettre de r\u00e9aliser ce qu\u2019elle doit accomplir de mani\u00e8re relativement s\u00fbre. Cela n\u00e9cessite de la planification et une bonne communication avec les autres parties prenantes de l’organisation afin de garantir l\u2019efficacit\u00e9 du programme de s\u00e9curit\u00e9 et de l\u2019aligner correctement sur les objectifs g\u00e9n\u00e9raux de l\u2019entreprise. Dans la mesure o\u00f9 la s\u00e9curit\u00e9 de l\u2019information est en concurrence avec les autres objectifs de l\u2019entreprise, un bon CISO s\u2019assurera que la strat\u00e9gie sera valid\u00e9e, approuv\u00e9e et formalis\u00e9e par un conseil ou un comit\u00e9 de gouvernance interne compos\u00e9 des parties prenantes de l\u2019informatique et du management.<\/p>\r\n

2. Il doit avoir une pr\u00e9sence ex\u00e9cutive et la capacit\u00e9 d’influencer le conseil d’administration<\/h3>\r\n

Une grande partie du travail d\u2019un CISO consiste \u00e0 communiquer directement avec le conseil d’administration. Selon l\u2019\u00e9tude du Ponemon Institute, 65% des CISO d\u00e9pendent directement du conseil d’administration. D’apr\u00e8s cette \u00e9tude, 60% sont responsables d’informer l\u2019organisation sur les nouvelles menaces, technologies, pratiques et exigences de conformit\u00e9. Enfin, \u00a060% sont directement rattach\u00e9s \u00e0 la Direction G\u00e9n\u00e9rale.<\/p>\r\n

Cependant, la majorit\u00e9 des membres du conseil ne comprennent g\u00e9n\u00e9ralement pas le langage de la s\u00e9curit\u00e9 de l\u2019information. Cela signifie que le CISO doit avoir la capacit\u00e9 de traduire leurs exigences, leurs objectifs et leurs rapports en des termes qu\u2019un conseil d\u2019administration peut parfaitement comprendre et, au final, d\u00e9velopper sa cr\u00e9dibilit\u00e9 et leur confiance.<\/p>\r\n

Cela n\u00e9cessite une pr\u00e9sence de la direction. C’est ce que Harvard Business Review d\u00e9finit comme \u00abla capacit\u00e9 de projeter une confiance en soi mature, un sentiment que vous pouvez prendre le contr\u00f4le de situations difficiles et impr\u00e9visibles; prenez des d\u00e9cisions difficiles en temps utile et tenez bon avec les autres membres talentueux et volontaires de l’\u00e9quipe de direction\u00bb. Un CISO efficace aura donc une pr\u00e9sence forte au sein de l’\u00e9quipe de direction. Il l\u2019utilisera non seulement pour repr\u00e9senter la position de la soci\u00e9t\u00e9 en mati\u00e8re de s\u00e9curit\u00e9, mais aussi pour influencer les autres dirigeants de mani\u00e8re coh\u00e9rente avec les buts et objectifs de s\u00e9curit\u00e9, et pour \u00e9tablir et entretenir des relations de travail efficaces avec tous les membres du conseil d’administration.<\/p>\r\n

3. Il doit poss\u00e9der des comp\u00e9tences de leadership exceptionnelles<\/h3>\r\n

Une bonne s\u00e9curit\u00e9 est le r\u00e9sultat d’un effort d’\u00e9quipe. Il s’agit d’un processus m\u00e9tier continu qui n\u00e9cessite l’adh\u00e9sion des employ\u00e9s et des dirigeants de l’ensemble de l’organisation. Le poste de CISO comporte des aspects bas\u00e9s sur la technologie. Cependant, \u00e0 de nombreux \u00e9gards, le succ\u00e8s d\u00e9pend de sa capacit\u00e9 de communiquer, \u00e0 cr\u00e9er des relations, \u00e0 d\u00e9l\u00e9guer et \u00e0 diriger par l\u2019influence, par opposition \u00e0 une poigne de fer.<\/p>\r\n

Il est essentiel que les CISO \u00e9tablissent des relations de confiance plut\u00f4t que d’imposer leur autorit\u00e9 sur les employ\u00e9s. La plupart des employ\u00e9s ne se consid\u00e8rent pas comme une menace \u00e0 la s\u00e9curit\u00e9 de l\u2019entreprise. Mais les actions qu\u2019ils entreprennent, leur prise de conscience des risques et la mani\u00e8re dont ils utilisent leurs propres dispositifs informatiques ainsi que ceux de l\u2019organisation lorsqu\u2019ils sont connect\u00e9s au r\u00e9seau sont susceptibles d’ouvrir la voie \u00e0 des cyberattaques. En tant que tels, les CISO ont une responsabilit\u00e9 en mati\u00e8re d\u2019application. Les bons CISOs, cependant, ne gouverneront pas par d\u00e9cret. A l’inverse, ils donneront aux membres de l\u2019\u00e9quipe de l\u2019ensemble de l\u2019organisation l’opportunit\u00e9 de prendre une part active \u00e0 la gestion des risques li\u00e9s \u00e0 l\u2019information.<\/p>\r\n

En outre, le CISO doivt clairement d\u00e9finir qui participe \u00e0 la prise de d\u00e9cision en mati\u00e8re de s\u00e9curit\u00e9. Et son r\u00f4le est de veiller \u00e0 ce que ces personnes disposent \u00e9galement des capacit\u00e9s et des comp\u00e9tences n\u00e9cessaires pour prendre des d\u00e9cisions en mati\u00e8re de gestion des risques de l’entreprise. La documentation joue ici un r\u00f4le cl\u00e9 dans la r\u00e9duction de la complexit\u00e9 de la synchronisation des r\u00f4les et des responsabilit\u00e9s entre les individus et les unit\u00e9s m\u00e9tiers. Le CISO s\u2019assurera qu\u2019il n\u2019y a pas de faille de couverture, que la s\u00e9curit\u00e9 est bien g\u00e9r\u00e9e \u00e0 tous les niveaux des d\u00e9partements et que les actifs de la soci\u00e9t\u00e9 sont prot\u00e9g\u00e9s.<\/p>\r\n

4. Il doit se concentrer sur sa propre \u00e9ducation et sur son d\u00e9veloppement personnel<\/h3>\r\n

Le champ de la cybers\u00e9curit\u00e9 \u00e9volue constamment et de nouvelles menaces apparaissent en permanence. Les CISO doivent consacrer une part importante de leur activit\u00e9 \u00e0 la formation continue et \u00e0 rechercher des sources d\u2019information qui les tiennent au courant de tous les d\u00e9veloppements en mati\u00e8re de cyber-menaces et de s\u00e9curit\u00e9 informatique.<\/p>\r\n

Bien entendu, les enjeux sont extr\u00eamement \u00e9lev\u00e9s. Les cybercriminels sont constamment \u00e0 la recherche de faiblesses dans les organisations qu\u2019ils peuvent cibler. Le CISO doit maintenir un foss\u00e9 aussi large que possible entre les cybercriminels et les programmes de s\u00e9curit\u00e9 de l\u2019organisation. Et cela n’est possible qu’avec un apprentissage continu.<\/p>\r\n

Pour cette raison, chaque CISO doit s\u2019engager dans un d\u00e9veloppement personnel continu. Cela se traduit dans des programmes de formation et d\u2019\u00e9ducation pour se familiariser avec les technologies \u00e9mergentes, les nouvelles exigences de conformit\u00e9 et le besoin perp\u00e9tuel d\u2019am\u00e9lioration de la s\u00e9curit\u00e9.<\/p>\r\n

5. Il doit maintenir l’\u00e9thique en mati\u00e8re de cybers\u00e9curit\u00e9 au premier plan<\/h3>\r\n

L’\u00e9thique joue un r\u00f4le crucial dans toute strat\u00e9gie de d\u00e9fense rationnelle en mati\u00e8re de cybers\u00e9curit\u00e9. En l\u2019absence de normes et de r\u00e8gles claires, il est pratiquement impossible de distinguer les responsables de la s\u00e9curit\u00e9 des criminels contre lesquels ils sont cens\u00e9s prot\u00e9ger les donn\u00e9es et les syst\u00e8mes de l\u2019organisation.<\/p>\r\n

\u00c0 mesure que le volume de donn\u00e9es qu’une organisation collecte sur ses clients, ses prospects, ses employ\u00e9s et d’autres personnes augmente, sa responsabilit\u00e9 de gestion et de protection de ces donn\u00e9es augmente \u00e9galement. La confidentialit\u00e9 des donn\u00e9es est \u00e9troitement li\u00e9e \u00e0 la s\u00e9curit\u00e9, et CISO doit mener activement des discussions sur la quantit\u00e9 d’informations personnelles identifiables conserv\u00e9es et sur la quantit\u00e9 de donn\u00e9es anonymis\u00e9es. En outre, le CISO doit mettre en \u0153uvre et appliquer une politique de pratiques \u00e9thiques \u00e0 suivre par le personnel informatique et de s\u00e9curit\u00e9, et r\u00e9viser cette politique r\u00e9guli\u00e8rement conform\u00e9ment aux derni\u00e8res r\u00e9glementations et directives.<\/p>\r\n

Le CISO doit \u00e9galement disposer d’un plan de r\u00e9ponse complet en cas d’incident \u00e0 activer imm\u00e9diatement en cas d’infraction. Il est important de noter que ce plan doit contenir \u00e9videmment des d\u00e9tails techniques sur la mani\u00e8re de r\u00e9agir. Mail il doit aussi \u00a0comporter des instructions pratiques \u00e0 l’intention des \u00e9quipes juridiques, qui tiennent \u00e9galement compte de consid\u00e9rations \u00e9thiques essentielles. Le temps est bien s\u00fbr un facteur important pour r\u00e9agir \u00e0 une cyber-attaque. Informer les clients de tout impact, tel que le vol de donn\u00e9es et d’informations d’identification, devrait donc faire partie int\u00e9grante du plan d’intervention.<\/p>\r\n

Apr\u00e8s une cyber-attaque les clients se sentent vuln\u00e9rables. Aussi, le manque de transparence soul\u00e8ve-t-il logiquement de s\u00e9rieuses questions sur les normes \u00e9thiques de l\u2019entreprise. Une entreprises victime d’une violation de donn\u00e9es est souvent sujette \u00e0 \u00a0des poursuites. De plus, elle subira presque toujours des dommages \u00e0 la r\u00e9putation. En outre, tout retard sur l\u2019annonce publique peut aggraver ces cons\u00e9quences.<\/p>\r\n

Conclusion<\/h2>\r\n

En r\u00e9sum\u00e9, un bon CISO poss\u00e8de un excellent esprit de leadership. Il est capable d’exercer une pr\u00e9sence affirm\u00e9e dans la salle de conseil d’administration. Sa capacit\u00e9 de communiquer efficacement sur la mission de s\u00e9curit\u00e9 est primordiale. Il doit \u00e9galement \u00e9tablir des relations solides au sein de l’entreprise. Enfin il est responsable de l’alignement des programmes de s\u00e9curit\u00e9 des informations sur les objectifs de l’entreprise. En outre, il doit s’engager pour sa formation continue et son d\u00e9veloppement personnel. Il doit \u00e9galement placer l\u2019\u00e9thique en mati\u00e8re de cybers\u00e9curit\u00e9 et la r\u00e9putation de l\u2019entreprise au centre de toutes ses activit\u00e9s. Les entreprises du monde entier font aujourd’hui face \u00e0 des menaces de plus en plus sophistiqu\u00e9es. Celles-ci proviennent d’une multitude de sources diff\u00e9rentes. D\u00e8s lors, un bon CISO dot\u00e9 des comp\u00e9tences et des qualit\u00e9s requises est plus crucial et plus pr\u00e9cieux que jamais.<\/p>\r\n

 <\/p>\r\n

En France et dans de nombreux pays francophones, on a l’habitude de nommer un RSSI au lieu d’un CISO. Pourtant le positionnement hi\u00e9rarchique et les responsabilit\u00e9s sont diff\u00e9rents. Qu’en pensez-vous? Merci d’apporter vos r\u00e9actions et vos exp\u00e9riences en commentaire.<\/em><\/strong><\/p>

Partager\u00a0:<\/h3>