Le rôle du RSSI évolue. Les RSSI eux-mêmes peuvent-ils suivre le rythme ?

Le rôle du responsable de la sécurité de l’information (RSSI) s’est élargi au cours de la dernière décennie grâce à la transformation numérique rapide. Désormais, les RSSI doivent être beaucoup plus orientés business, porter beaucoup plus de casquettes et communiquer efficacement avec les membres du conseil d'administration, les employés et les clients, sous peine de risquer de graves failles de sécurité.

Lors d'une vaste séance de questions-réponses avec la presse au CPX 2024 à Las Vegas, un panel de RSSI et de vice-présidents (VP) d'organisations internationales se sont entretenus sur la façon dont la transformation numérique, les pressions sur les résultats et le manque de sensibilisation à la sécurité ont forcé un changement dans la nature de leurs positions – en général, allant du technique au professionnel, en passant par le hautement social.

Aujourd’hui, suggèrent-ils, la différence entre un RSSI efficace – et, par extension, une culture de sécurité efficace au sein d’une organisation – réside autant dans des compétences de communication plus douces que dans l’atténuation des vulnérabilités et la définition de politiques. En fait, les responsables de la sécurité qui réussissent dans le second cas mais qui manquent du premier finissent par exposer leur organisation à des failles majeures.

« Vous avez posé des questions sur les conséquences ? » Dan Creed, RSSI chez Allegiant Travel Company, a demandé rhétoriquement en réponse à une question de Dark Reading. « Demandez à SolarWinds quelles sont les conséquences. Ils avaient une politique en matière de mots de passe, un stagiaire ne l'a pas respectée, regardez les conséquences.

Comment la transformation numérique a transformé le RSSI

« Le rôle du RSSI a changé au cours des 10 dernières années, et nous n'avons jamais vraiment pris conscience de cela », a déclaré Frank Dickson, vice-président du programme pour les produits de cybersécurité chez IDC, lors d'une conférence de presse distincte du CPX le 6 mars.

Il y a des années, le poste a été créé avec une focalisation relativement étroite sur les cyber-risques auquel il est encore associé aujourd'hui. Mais elle s'est élargie, d'abord grâce à un élargissement de la surface d'attaque des entreprises. Les violations typiques nécessitaient auparavant des vulnérabilités dans les ressources de l'entreprise – pensez à Target, Ashley Madison, etc. De nos jours, surtout depuis la COVID, c'est e-mails, téléphones et autres appareils des employés qui représentent au contraire le plus grand risque pour les organisations. La responsabilité de la sécurité de l’information étant devenue collective, les RSSI ont été contraints de sortir de leurs silos.

Frank Dickson informe la presse du nouveau rapport d'IDC ; Source : CPX

La transformation numérique a également fait passer l’informatique de son cloisonnement vers le secteur d’activité. Comme l'a souligné Dickson : « Environ 40 % de tous les revenus du [Global] 2000 l'année prochaine proviendront des produits et services numériques. Cela change donc la nature de l'informatique, passant d'un système de fixation des coûts à un système en passe de générer des revenus. Et si l’on réfléchit à ce que cela fait, cela change fondamentalement le rôle du RSSI. Plus les entreprises considèrent aujourd'hui l'informatique comme un moteur de leur activité, plus les RSSI doivent être intégrés non seulement pour prévenir et atténuer les cyber-risques, mais aussi pour conseiller le conseil d'administration sur les décisions commerciales et pour rencontrer les développeurs, les vendeurs et les clients.

Les responsabilités de plus en plus orientées vers l'entreprise du RSSI ont été reflétées dans une enquête d'IDC révélée au CPX. Sur 847 responsables de la cybersécurité interrogés, 10 % estiment que le travail le plus important d'un RSSI réside dans les compétences en matière de leadership et de constitution d'équipe, et 8 % estiment que ce sont les compétences en gestion d'entreprise. La sensibilisation et la compréhension réelles de la cybersécurité, ainsi que les compétences en matière d'architecture et d'ingénierie informatique, ont reçu à peine plus de voix, soit 12 % chacune.

Comment les RSSI peuvent faire mieux auprès des employés

Ce n'est pas seulement le fait que les RSSI devrait doubler en tant qu’hommes d’affaires – ils en ont besoin. « La conséquence de ne pas établir ces relations [est] que vous obtenez une culture au sein de l'entreprise du « Eh bien, ce n'est pas ma responsabilité ». Comme SolarWinds et MGM. Ils réinitialisent leur MFA simplement en appelant le service d'assistance, même s'ils ne comprennent pas ou ne réalisent pas les conséquences d'un manque de sensibilisation à la sécurité », a expliqué Creed.

La subtilité de l'argument de Creed – reprise par d'autres participants à la table ronde – est importante. Prévenir les failles de sécurité des employés n'est pas simplement une question de sensibilisation, soulignent-ils, car même les employés avertis ignorent la sécurité lorsque leur relation avec leur équipe de sécurité n'est pas saine ou lorsque l'hygiène est tout simplement trop exigeante.

« [Ils disent] que la sécurité doit être cachée. Je vais encore plus loin : la sécurité doit lubrifier l'entreprise et la rendre plus rapide", a déclaré Pete Nicoletti, RSSI de terrain chez Check Point, faisant écho à la philosophie évoluée du RSSI moderne. Il propose les VPN comme exemple de cas dans lesquels les RSSI limités et démodés ont traditionnellement ralenti les activités. « Combien de temps mon courrier électronique est-il conservé : deux secondes ou 10 secondes ? Combien de temps faut-il pour s'inscrire au VPN ? Est-ce que [les employés] vont contourner ce problème parce que cela prend 22 secondes et une authentification ? [Il s'agit] d'essayer de les rendre aussi transparents et faciles à utiliser que possible. Commencez à choisir des outils qui accélèrent réellement le processus, là où vous disposez désormais d’un avantage concurrentiel.

"Certaines de mes premières initiatives que je mène sont exactement cela", a appuyé Creed. « Abandonnons le VPN et passons à un système toujours actif où, avec votre ordinateur portable, vous l'allumez, vous êtes excité et vous êtes connecté à notre réseau, en remontant via notre pile de sécurité. Le prochain objectif est de jeter les bases d’une transition vers le sans mot de passe. »

Si parler aux employés et leur faciliter la sécurité ne suffit pas, les RSSI peuvent également expérimenter des incitations alternatives. « Nous disposons en fait de mesures KPI autour de la culture de sécurité. Et nous nous préparons au point où nous allons commencer à avoir un impact réel sur les pools de bonus, de sorte que si votre département fait mieux, il augmentera votre pool de bonus au-dessus de la norme [. . .] et si vous ne le faites pas, cela touche votre bonus », a expliqué Creed.

Comment les RSSI peuvent mieux collaborer avec leurs collègues dirigeants

Ensuite, il y a le tableau.

Dans son enquête, IDC a demandé aux RSSI et à leurs collègues DSI ce que font réellement les RSSI (par exemple, s'ils se concentrent sur l'architecture stratégique ou si le travail est tactique par nature) et a constaté des divergences non négligeables dans les réponses, indiquant que même les RSSI Les partenaires de niveau C les plus proches ne sont pas totalement sur la même longueur d'onde.

Creed a rappelé un de ces cas récemment, où « nous avons commandé de nouveaux 737. Et ce sont nos premiers avions e-connectés. [Le conseil d'administration] ne m'a pas inclus dans les conversations précédentes, puis c'est devenu un exercice d'incendie selon lequel tous les nouveaux avions connectés en ligne ont des exigences en matière de cybersécurité - que, en fait, si vous n'avez pas de plan de sécurité réseau approuvé et accepté avec la FAA au dossier, vous perdez votre certification de navigabilité pour ces avions. Pensez-vous que le conseil d'administration, lorsqu'il a commencé à parler de « nous allons étendre la flotte », a considéré que cela pourrait avoir des implications en matière de sécurité ? »

« Il faut donc les éduquer et leur expliquer : c’est pourquoi nous avons besoin d’une place à la table. Dans chaque décision stratégique prise pour l’entreprise, des risques sont impliqués. [. . .] Plus vous incluez-nous à une place à cette table, mieux nous pourrons protéger l'entreprise et déterminer où se situe ce risque dès le début plutôt qu'une fois qu'il se transforme en incendie », a-t-il déclaré.

À cette fin, dans une interview avec Dark Reading, Russ Trainor, vice-président senior des technologies de l'information chez les Broncos de Denver, a proposé un conseil simple :

« Parfois, je transmets des informations sur les violations à mon directeur financier : voici la quantité de données exfiltrées, voici combien cela a coûté, selon nous », dit-il. "Ces choses ont tendance à faire mouche."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up