Traditionnellement, les acteurs du secteur de la cybersécurité sont techniquement très pointus et hyper-spécialisés dans la recherche d’outils et de solutions visant à protéger les données – et les utilisateurs qui y accèdent – contre un piratage ou une attaque. Cela fonctionnait bien tant que la totalité d’une entreprise se cantonnait au périmètre sécurisé de ses bureaux ou de son réseau.
Cependant, la transformation numérique, les supply chains ouvertes et les appareils mobiles changent ce paradigme depuis quelque temps et nous avions tous commencé à modifier notre approche. Or 2020 en a décidé autrement et les bouleversements imposés par la pandémie de coronavirus ont accéléré ces tendances de manière exponentielle, venant encore compliquer l’évaluation et le contrôle des risques.
Le passage massif à un environnement de télétravail a considérablement accru les risques non maîtrisés, notamment par l’accès aux systèmes de l’entreprise via des réseaux ou des équipements personnels non sécurisés. Dans le même temps, les cybercriminels restent mus par l’appât du gain : nous avons ainsi observé des attaques de phishing en hausse de plus de 667 % au premier semestre de cette année.
Si l’on y ajoute les coûts édifiants – qu’ils soient d’ordre financier ou touchent aux atteintes à la confiance dans les marques ou à leur propriété intellectuelle – d’un piratage de données (une récente étude fait état d’un coût moyen de 3,92 millions de dollars), il en résulte une parfaite conjonction de risques.
Entourez-vous de spécialistes de la cybersécurité qui connaissent parfaitement l’entreprise
Les changements imposés à notre secteur par la pandémie seront irréversibles et vont bien au-delà du télétravail massif. Un responsable de la sécurité des systèmes d’information (RSSI ou, en anglais, CISO : Chief Information Security Officer) n’opère plus dans le cadre strict d’un système de sécurité classique et doit faire face à de nouveaux risques non maîtrisés : une fois le génie sorti de sa lampe, il est difficile de l’y faire rentrer. Il nous faut désormais enrichir les compétences du personnel de cybersécurité, et trouver et former celles et ceux qui, au sein du département informatique, comprennent à la fois le risque et le fonctionnement de l’entreprise pour pouvoir prodiguer des conseils sur la meilleure façon de la protéger.
Une récente étude révèle que, pour 63 % des « leaders » dans le domaine de la cybersécurité, l’absence d’un vocabulaire commun entre le DG et le RSSI peut rendre difficile l’identification des priorités en matière d’organisation et, pour 53 % d’entre eux, la prise des décisions techniques.
A mon précédent poste de CISO chez Comcast, j’ai été confrontée à ces problèmes aux premières loges et j’ai créé le rôle de responsable de la sécurité des informations métiers (BISO : Business Information Security Officer), chargé d’élaborer une stratégie de sécurité plus connectée et intégrée à l’entreprise. Même si je demeurais responsable en dernier ressort de la sécurité de l’entreprise, les BISO placés sous mon autorité contribuaient à établir une vision des différentes unités opérationnelles.
Les professionnels de la sécurité affectés à ce rôle ont noué des relations avec les responsables opérationnels afin de mieux cerner les objectifs de leur service, ainsi que ses besoins en termes de protection. Le travail des BISO nous a aidés à prendre conscience que, les objectifs, missions et travaux de chaque service étant différents, la protection de chacun nécessitait des solutions sécuritaires et techniques distinctes.
Les compétences exigées d’un BISO
Si vous envisagez de déployer des BISO dans votre entreprise, vous devez connaître les principales compétences attendues d’un bon candidat pour ce poste.
Les BISO doivent non seulement être bien au fait des plus récentes cybermenaces et technologies de cybersécurité mais aussi être d’excellents communicants et apprendre rapidement. Ils doivent pouvoir formuler des impératifs de sécurité complexes en termes métiers, avec la capacité de comprendre le risque et l’impact des décisions de sécurité. La connaissance de l’analyse des données ou du Machine Learning pourrait se révéler utile : une véritable visibilité sur les risques dans l’ensemble d’une entreprise ne pouvant être obtenue au moyen des seules capacités humaines, l’analyse des données donne une vision à la fois en temps réel et historique des événements. Cela produit une vue unifiée des menaces et des failles de sécurité, permettant une planification plus judicieuse, une résolution plus rapide et de meilleures prises de décisions, autant d’atouts bénéfiques pour un BISO.
Les candidats idoines ont également exercé au cours de leur carrière une fonction opérationnelle à la tête d’une équipe, maîtrisent la rentabilité financière et les coûts, et possèdent de solides capacités d’analyse. A titre d’exemple, j’ai recruté des BISO ayant une expérience d’analyste financier, qui ont ensuite évolué vers des postes technologiques ou « fintech » et se sont formés aux techniques de sécurité.
Cependant, il est clair que dans un monde où les talents ne sont pas légion, il vous faudra former vous-même des collaborateurs possédant différentes compétences et expériences pour en faire des BISO efficaces. Vous ne pouvez attendre des nouvelles recrues qu’elles soient pleinement au fait des principes et des termes métiers, c’est pourquoi vous pouvez envisager d’accélérer leur apprentissage en les intégrant à différentes unités opérationnelles à tour de rôle afin qu’elles se familiarisent avec le travail de chacune. Cela sera bénéfique non seulement à l’entreprise mais aussi à l’épanouissement du collaborateur, en contribuant à lui ouvrir les yeux sur les besoins et perspectives métiers et en perfectionnant ses compétences.
La réciproque peut également être intéressante : des spécialistes métiers férus de technique peuvent ainsi être affectés temporairement à l’équipe de sécurité afin d’élargir leur horizon et leurs connaissances. Cette fertilisation croisée à tous les niveaux ne peut que permettre à la sécurité de mieux saisir les enjeux.
Les responsables de la sécurité les plus efficaces comprennent l’importance de leur entreprise et les raisons pour lesquelles celle-ci doit être protégée. En d’autres termes, ils comprennent les objectifs métiers ainsi que la fonction de la sécurité qui consiste à permettre et protéger la création de valeur afin d’y contribuer. De trop nombreux professionnels de la cybersécurité se focalisent sur le renforcement de la protection des systèmes, des tâches ou des périmètres sans se demander pourquoi. En comprenant ce que vous tentez de protéger, vous pourrez correctement analyser les risques et choisir les bonnes solutions de sécurité pour affronter les problèmes les plus pressants aujourd’hui dans ce domaine.