La pression sur les RSSI s'accentue

Selon un rapport du Forum économique mondial, paru en janvier 2019, les cyberattaques sont devenues la cinquième menace mondiale en termes de probabilité et la septième menace en termes d'impact. La presse se fait régulièrement l'écho des nombreuses cyberattaques et de leurs conséquences. Aucune organisation ne peut faire l'impasse sur la sécurité sans hypothéquer gravement son avenir et ces dernières misent sur les compétences de leur RSSI pour parer aux cyberattaques. Sa tâche est d'autant plus compliquée qu'il doit contrer des menaces plus nombreuses et plus sophistiquées et dans le même temps faire face à une pénurie de compétences dans le domaine. C'est ce qu'une étude Gartner a confirmé, indiquant que 61 % des organisations avaient des difficultés à embaucher des professionnels de la sécurité.

Le rôle du RSSI va au-delà de la technologie

Souvent défini comme un technologue, le RSSI voit son rôle évoluer. Il ne peut pas se permettre de rester dans sa tour d'ivoire car, pour être efficace, la sécurité doit infuser dans toute l'organisation. Le RSSI doit être à même de concilier les impératifs de sécurité avec le besoin d'agilité. Il ne peut pas imposer des contraintes qui freinent les innovations.

Aujourd'hui, toute organisation moderne produit un grand nombre de logiciels qui supportent les services et les nouveaux usages. Si la sécurité était auparavant davantage centrée sur les infrastructures IT, elle exige désormais de se concentrer sur les logiciels tout au long de leur cycle de vie sous peine de devoir corriger à posteriori les vulnérabilités potentielles.

Les équipes de sécurité ont également besoin de compétences et d'états d'esprit différents pour réussir dans de nouveaux domaines. Les RSSI les plus performants reconnaissent que la sécurité d'aujourd'hui va bien au-delà de la technologie.

Trois comportements clés qui doivent guider les actions des RSSI :

• L'anticipation. Les risques et les attaques évoluent constamment. Le RSSI doit pouvoir garder une longueur d'avance en cherchant à prévenir les attaques et à en limiter leur portée. Il doit se tenir informé sur l'état de l'art de la cybersécurité et sur les exigences réglementaires.
• La collaboration. Pour être efficace la sécurité repose sur un travail d'équipe qui va bien au-delà des équipes de sécurité et concerne toute l'organisation.
• La rapidité de décision. Les attaques se propagent rapidement et les dégâts croissent en conséquence. En matière de risques, le délai de réaction n'est pas acceptable. Le RSSI doit développer son influence afin de pouvoir intervenir à tout niveau de la chaine hiérarchique de l'organisation et s'assurer de l'exécution immédiate des décisions.

Ambassadeurs de la sécurité

Pour être appliquées et efficaces, les règles de sécurité doivent être connues, comprises et alignées avec la stratégie. Prenons par exemple un client du Cloud Amazon Web Services (AWS) : Netflix. Jason Chan, Vice Président de la Sécurité du cloud pour la plateforme de vidéo à la demande de l'entreprise, s'attache à donner de la visibilité aux actions de sécurité en faisant en sorte que la communication soit mieux ciblée et ne s'embarrasse plus de détails techniques inutiles. Les politiques de sécurités sont ainsi mieux comprises par les parties prenantes. Il a également constaté qu'en donnant aux équipes sécurité le sentiment de participer à la stratégie de l'entreprise avec une bonne compréhension du contexte commercial, elles sont mieux enclines à prendre des décisions éclairées.

A l'image de Netflix, les RSSI doivent donc évoluer pour être capable de répondre aux besoins liés à la sécurité et à la demande grandissante d'agilité. Leur rôle ne peut plus s'arrêter à celui d'ingénieur et doit s'ouvrir à un plus grand champ de compétences. Cela leur permettra non seulement d'anticiper les problèmes, mais aussi de mieux collaborer au sein de leur pôle et avec de nouveaux collaborateurs, pour améliorer la prise de décision.