Alors que la cybersécurité est devenue une considération de plus en plus importante dans la prise de décision des entreprises, une tendance correspondante a été observée pour élever le rôle du responsable de la sécurité de l'information (RSSI) à un niveau plus élevé dans la hiérarchie exécutive. Le raisonnement semble être le suivant : « Si le cyberespace est important, les RSSI doivent l’être également. » Cependant, l'élévation de ce rôle fait du RSSI une voix solitaire dans le désert criant à la « sécurité », avec peu de liens avec les décideurs quotidiens en matière d'informatique, d'ingénierie ou de produits.
Cela a entraîné des conséquences indésirables, comme le dirigeant de Facebook qui pensait qu'il était acceptable que les mesures de sécurité de l'entreprise causé des retards de plusieurs heures en réponse à sa panne du 4 octobre 2021, ou le dirigeant d'Uber qui payé les pirates qui ont violé son système, plutôt que de reconnaître la violation, ou les nombreux RSSI qui ont investi dans des « couches de sécurité supplémentaires » plutôt que d'admettre qu'ils ont fait de mauvais choix au départ. Dans tous ces cas, l'isolement du RSSI des unités commerciales fonctionnelles a sans aucun doute joué un rôle dans la réflexion tunnel que reflètent ces décisions.
Impact organisationnel
Il est peut-être temps de réimaginer le rôle du RSSI. Il est peut-être préférable de voir l'importance du RSSI se refléter dans l'impact organisationnel plutôt que dans le statut organisationnel. Peut-être que l’intégration de la sécurité dans les unités fonctionnelles entraînera une meilleure sécurité.
Imaginez le RSSI comme faisant partie de l’écosystème de l’organisation informatique. Ils seraient impliqués dans chaque décision concernant l’infrastructure, et les préoccupations en matière de sécurité feraient partie intégrante de ces décisions plutôt que d’être ajoutées après coup. Cela permettrait de mettre en place un ensemble de solutions de « sécurité » basées sur la façon dont le réseau est structuré et géré, plutôt que sur des capacités de sécurité spéciales insérées dans l'infrastructure par un groupe extérieur.
Imaginez un expert en sécurité intégré à l’organisation de développement logiciel. Ils seraient en mesure d'affiner le processus de développement pour garantir que le code est écrit et testé dans un souci de sécurité, sans imposer aux développeurs des processus qui leur sont étrangers, réduisant ainsi les vulnérabilités du code de l'entreprise. Imaginez un expert en sécurité intégré aux gammes de produits. Ils seraient en mesure de s'assurer que l'infrastructure de l'entreprise protège leur propriété intellectuelle et que leur processus de développement réduit les vulnérabilités de leur produit.
Dans tous ces cas, la sécurité devient un facteur de décision d’entreprise ancré dans la réalité des opérations de l’entreprise. L'expertise technique du RSSI devient partie intégrante du travail quotidien plutôt qu'une contrainte qui lui est imposée. De même, la sécurité et la conformité doivent fonctionner de manière transparente afin que les systèmes financiers et les communications avec les partenaires et les fournisseurs restent sécurisés. Cela s’étend aux systèmes de télécommunications et autres matériels.
Le facteur de risque
Cela semble être un moyen plus efficace de faire de la dimension technique de la sécurité une voix puissante dans l’exécution de l’entreprise. Cependant, on peut se demander si cela diminuera la dimension politique, en la balkanisant pour répondre aux intérêts particuliers des unités fonctionnelles individuelles. Cette préoccupation peut être résolue en élargissant le rôle du responsable des risques pour inclure les fonctions de politique de sécurité actuellement exercées par le RSSI.
Cela présente l’avantage de maintenir la politique de sécurité au niveau C, où elle reçoit l’attention dont elle a besoin. Il présente également l’avantage de considérer le risque de cybersécurité dans le contexte d’autres risques (risque pour la disponibilité, risque pour la réputation, pour répondre aux cas ci-dessus). La sécurité ne serait plus une fin en soi, mais une dimension des affaires. Cela ne signifie pas que la sécurité doit affronter d’autres préoccupations et faire des aménagements qui compromettent la sécurité de l’organisation. Au contraire, cela crée un environnement qui troque la mentalité du « ou/ou » contre une mentalité qui cherche à satisfaire toutes les exigences.
Il existe de nombreuses technologies de contrôle d’accès qui auraient protégé efficacement Facebook sans verrouiller son propre personnel. Lorsque le risque de sécurité est pris en compte avec le risque de disponibilité, ces solutions plus pragmatiques émergeront.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
