Attirer l'attention du COMEX de son organisation : un enjeu stratégique pour le RSSI

Aujourd’hui encore, 50% des professionnels de la sécurité informatique ont du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité. Comment le RSSI peut susciter l'intérêt du comité exécutif (COMEX) de son organisation ? Comment communiquer efficacement avec les membres du COMEX sur ces sujets stratégiques liés au risque ? Quelles astuces pour parler le même langage et être capable d'expliquer les risques de sécurité de manière claire et concise ?

Pourquoi est-ce important de piloter la sécurité du Système d'Information (SI) ?

 L'organisation est confrontée à deux enjeux majeurs. Le premier concerne le système d'information (SI) et son rôle stratégique dans la transformation numérique des entreprises. Le SI doit soutenir l'activité, aider à mieux connaître les données, à réagir plus rapidement et à prendre les bonnes décisions.

Le deuxième enjeu est la recrudescence des cyberattaques menées par des groupes organisés, qui sont de plus en plus armés et qui ciblent des organisations de toutes tailles. L'augmentation de la surface d'attaque due à la migration vers le cloud et l'interconnexion des technologies opérationnelles avec l'IT augmentent le niveau de risque de cyberattaque.

cyberattaque Camaieu 2021

L'exemple de Camaïeu, leader du prêt-à-porter féminin en France, est frappant. Après avoir subi des difficultés financières en raison de la pandémie de Covid-19 et des fermetures administratives de magasins, l'entreprise a été victime d'une cyberattaque majeure en juin 2021 qui l'a paralysée pendant quatre mois. Cette attaque a entraîné une perte d'exploitation de 40 millions d'euros, conduisant finalement l'entreprise à une cessation de paiements et à une procédure de redressement judiciaire un an plus tard.

80 % des entreprises ayant perdu leurs données informatiques suite à une cyberattaque font faillite dans les 12 mois([1]) selon une étude de l’assureur britannique Hiscox.

Au vu des montants financiers en jeu, pas étonnant que 16 % des cyberattaques menacent la survie d’une entreprise.

Face à ces défis, les entreprises doivent mettre en place une posture de sécurité solide et un pilotage pour protéger leur activité, leurs données et leur conformité réglementaire. La politique de sécurité doit permettre d'assurer la continuité de l'activité, de maintenir l'emploi, de protéger l'intégrité et la confidentialité des données et de se conformer aux réglementations en vigueur telles que NIS2 et RGPD.

Le RSSI joue un rôle central en apportant son expertise technique et opérationnelle pour aider la direction à relever ces défis, notamment en protégeant les "bijoux de la couronne" de l'organisation. La stratégie de sécurité est donc à la fois une arme de compétitivité et une arme sociale, permettant de protéger l'entreprise et ses employés des conséquences désastreuses des cyberattaques.

Quels sont les interlocuteurs du RSSI dans le cadre du pilotage de la sécurité de l’organisation ?

Être Responsable de la Sécurité des Systèmes d'Information (RSSI) n'est pas de tout repos ! Dans ce rôle, on peut avoir différents positionnements au sein d'une organisation, avec des enjeux variés et des conséquences à la clé.

Dans le premier cas, le RSSI travaille main dans la main avec la Direction des Systèmes d'Information (DSI). Cette position demande au RSSI de jongler entre les contraintes budgétaires et les exigences de sécurité, tout en naviguant entre les exigences de sécurité et les projets de transformation digitale de la DSI.

Le deuxième cas de figure est celui où le RSSI est sous la responsabilité du CTO, un échelon intermédiaire entre le RSSI et le DSI.

Dans le troisième cas, le RSSI est directement rattaché à la Direction Générale de l'entreprise. Là, on parle de position stratégique et transversale, avec une grande autonomie d'action. Pour s'attaquer aux questions de sécurité au sein du CoDir, il faut être mature et avoir un langage commun. Et bien sûr, avoir une vision d'ensemble des enjeux RH, juridiques, métiers, etc.

Le quatrième cas de figure est celui où le RSSI travaille avec le responsable des risques de l'entreprise pour évaluer et contrôler les activités à risque. Cette position est souvent rencontrée dans les grandes entreprises, notamment dans le secteur bancaire. On peut parler de mission "conformité", où le RSSI doit s'assurer que tout le monde respecte les processus de sécurité. Dans la gestion des risques, on identifie trois lignes de défense : la première est constituée des personnes qui réalisent les actions en respectant les processus intégrant la sécurité ; dans la deuxième le RSSI doit garder un œil sur le travail de la première ligne ; et enfin, la troisième est celle de l'audit, chargée d'évaluer régulièrement les actions des deux premières lignes de défense.

Un dernier cas de figure est celui où le RSSI est rattaché au CSO (Chief Security Officer), dont le champ d'action est plus large et inclut la sécurité du SI, la sécurité physique des personnes et la sécurité en général. Dans l'environnement des technologies opérationnelles, le RSSI peut être rattaché au Directeur des Opérations, et se spécialiser dans la sécurité des systèmes de contrôle industriel.

Dans tous les cas, le RSSI doit être un chef d'orchestre hors pair. Il doit jongler avec différentes responsabilités, travailler en collaboration avec des équipes variées et avoir une grande polyvalence. C'est un rôle complexe mais passionnant qui demande une bonne dose de créativité !

 

Comment le RSSI peut-il capter l’attention du COMEX sur les risques cybersécurité ?

Lorsqu'il s'agit de capter l'attention du COMEX, le défi est de taille. Mais rassurez-vous, il existe plusieurs stratégies efficaces pour y parvenir.

Tout d'abord, l’objectif est de pouvoir obtenir un temps de parole lors des réunions du COMEX. Une façon de susciter l’attention consiste à organiser une séance de simulation de crise, en utilisant un scénario bien ficelé et respectueux des hiérarchies en place. Cette immersion permettra aux membres du CoDir de se mettre dans la peau des personnes concernées et de proposer des réactions adaptées face à un événement donné. Et pour rendre l'exercice encore plus engageant, pourquoi ne pas l'intégrer à un séminaire en mode gamification ?

Une autre façon de procéder consiste à présenter les résultats d'un pentest. En exposant les faiblesses de l'organisation en matière de sécurité de manière honnête et factuelle, le RSSI pourra faire comprendre aux membres du COMEX les risques bien réels encourus en cas de cyberattaque.

Mais pour être sûr d'attirer l'attention du COMEX, il est impératif de présenter des informations pertinentes. Le RSSI doit être capable de mesurer l'impact financier, juridique et de réputation sur l'organisation en cas d'incident. Il doit être capable d'expliquer les conséquences d'une interruption de production ou de la diffusion de données confidentielles sur Internet. En faisant le lien entre les problèmes techniques et les impacts sur l'activité de l'entreprise, le RSSI pourra se faire entendre.

LA MESURE DU RISQUE

mesure du risque cyber par COMEX

 

Le COMEX attend également une proposition de plan d'action clair et précis pour réduire les risques. L'audit de maturité permet de dresser un état des lieux des failles de sécurité et des écarts de conformité, afin de définir une stratégie de protection adaptée. Ce plan devra comprendre des politiques, des outils de protection, des configurations et des systèmes de détection, ainsi qu'une préparation en cas de crise, avec une priorisation des actions et des budgets à allouer. Et pour mesurer la progression, l'audit de maturité devra être pratiqué à fréquence régulière.

En tant que RSSI, il est essentiel de comprendre les enjeux spécifiques de chaque membre du COMEX, qu'il s'agisse de l'opérationnel, du business ou du juridique. Cela passe notamment par une familiarisation avec la conformité et les exigences de sécurité à inclure dans les contrats fournisseurs.

En résumé, pour capter l'attention du COMEX, il faut être créatif, pragmatique et pertinent. Le RSSI doit être à l'aise avec tous les sujets liés à l'organisation et à son SI, afin de pouvoir jouer pleinement son rôle de chef d'orchestre.

Quelles sont les informations nécessaires au RSSI pour faire le point sur son dispositif de sécurité ?

En tant que Responsable de la Sécurité des Systèmes d'Information (RSSI), il est primordial d'être doté de métriques efficaces permettant de mesurer le niveau de risque et les thématiques associées. Pour garantir une sécurité optimale des systèmes d'information, il convient de s'assurer que les procédures et les contrôles d'accès sont respectés, et d'avoir des indicateurs pertinents permettant de contrôler et de mesurer l'évolution de la sécurité dans le temps. Par exemple, lorsqu'un collaborateur quitte l'entreprise, il est impératif de vérifier que ses accès ont bien été coupés dans les délais impartis.

Ainsi, le RSSI doit être en mesure de disposer des données nécessaires pour s'assurer que tout est sous contrôle et que l'organisation est capable de réagir en cas de déviance. Maintenir une hygiène informatique irréprochable et identifier les comportements déviants est une priorité. Lorsque des personnes ne respectent pas les bonnes pratiques de sécurité et que leur comportement peut présenter un risque pour l'organisation, on peut être alerté automatiquement ou par les équipes.

Cependant, il est important de ne pas se laisser submerger avec trop d'indicateurs. Notre conseil est de rester rationnel et concentré sur ce qui est critique, en se basant sur 5 à 10 indicateurs macro au maximum, conformément aux référentiels NIST ou ISO 27001. En tant que RSSI, on doit également être capable de piloter les sous-traitants et de mesurer la sécurité des partenaires qui sont interconnectés avec le système d'information.

Par ailleurs, l'environnement de l'organisation évolue en permanence avec l'essor rapide du cloud, des logiciels SaaS et des technologies OT de plus en plus connectées à l'IT.

Cela nécessite une attention constante de la part du RSSI. Rester vigilant sur l'évolution de la menace et être informé de la transformation de la surface d'attaque qui s'étend avec l'ouverture du système d'information et les nouvelles pratiques de travail est une exigence. Grâce à des outils tels que la threat intelligence et des formations sur les différentes thématiques de digitalisation, le RSSI peut se tenir au courant des nouvelles menaces et évaluer le risque.

Le rôle du RSSI consiste à adapter la sécurité du système d'information à mesure que le risque évolue, avec un système d'information et un contexte d'organisation en constante mutation. Il est essentiel de prendre en compte les évolutions technologiques et les menaces en perpétuelle mutation afin de garantir l’efficacité du dispositif de sécurité sur les actifs et processus les plus critiques.

La meilleure manière de mesurer l'efficacité des mesures de sécurité, c’est de procéder à un audit ou à un pentest pour tester la sécurité de son SI et ses processus de gestion d'alerte de manière globale. Grâce à cette photographie, on peut identifier si il est nécessaire de renforcer la politique de sécurité et, d’autre part mener des campagnes de sensibilisation.

 

En savoir plus sur la détection et la réponse à incident

Vous avez une question, un projet ou tout simplement envie de venir échanger autour d’un café ?

Contactez-nous