Comment organiser votre programme de cybersécurité

Les RSSI sont confrontés à la multiplication des risques informatiques, qui croissent à un rythme exponentiel, non seulement en termes de volume, mais ces derniers gagnent aussi en complexité et touchent un plus grand nombre de postes. Le personnel chargé de la cybersécurité ne peut pas examiner (ni même identifier) chacun de ces risques, cependant on peut craindre qu’une absence de contrôle et de visibilité conduise à des risques inacceptables.

Dans le même temps, les PDG et les dirigeants d’entreprise intègrent directement les fonctions technologiques dans les activités de l’entreprise, et un nombre croissant d’employés effectuent des tâches qui impliquent la personnalisation, l’élaboration ou l’acquisition de solutions technologiques. Le nombre et la complexité des décisions de gestion des risques prises en marge de l’entreprise l’emportent désormais sur celles prises par les groupes informatiques et de cybersécurité centraux.

La tendance à « centraliser pour décentraliser » représente une nouvelle approche de la gouvernance de la cybersécurité. Aujourd’hui, la centralisation des décisions traduit une approche plus réfléchie (et modulable) qui met l’accent sur une politique flexible et centralisée tout en soutenant une prise de décision au niveau local. Les règles régissant les contrôles sont élaborées au niveau local et les décisions prises localement viennent s’inscrire dans le cadre d’une politique gérée de manière centralisée.

Pour que cette approche soit viable, mettez en place des comités directeurs ou des équipes chargées de la gouvernance, des risques et de la conformité afin de définir les politiques et les processus qui permettront aux responsables décisionnels locaux de faire les bons choix. Si vous entendez les responsabiliser, veillez à ce qu’il leur soit facile de se conformer aux principes qui sont les vôtres.

Privilégier les modèles agiles et non les modèles décisionnels en cascades permet d’assurer la modularité de votre système d’évaluation des risques informatiques. La plupart des décisions et des mesures liées aux risques informatiques sont désormais prises par des équipes de produits ou des unités opérationnelles qui font appel à des processus agiles, et ne sont plus contrôlées de manière centralisée par des procédures en cascade à plusieurs étapes. Il ne suffit pas de procéder à des modifications superficielles ; les programmes de cybersécurité doivent radicalement évoluer pour prendre en charge les nouveaux modèles d’exploitation :

• Créez de nouveaux postes au sein des équipes locales et décentralisées (responsables de la sécurité de l’information de l’entreprise, responsables locaux de la sécurité de l’information, champions de la sécurité).

• Harmonisez les nouvelles méthodes de travail et les nouveaux processus (DevSecOps, modèles axés sur le cloud).

• Élaborez des processus modulables qui font remonter avec discernement les conflits, les risques résiduels importants et les demandes exceptionnelles pour bénéficier au plus vite d’une assistance concrète.

Quant aux règles à mettre en œuvre, la simplicité est de mise. Les RSSI consolident ou allègent (et en aucun cas ils ne viennent les étoffer) ces règles afin de les simplifier pour l’utilisateur. Si les utilisateurs finaux sont impliqués dans l’élaboration de ces règles, vous donnez aux responsables de la gestion des risques et des données le contrôle et la flexibilité nécessaires pour appliquer les normes et mettre en œuvre les solutions qui leur conviennent le mieux. Autrement dit, un organe central doit définir le contenu de ces règles et les modalités de mise en œuvre doivent être déterminées au niveau local.

En vous faisant connaître auprès de la direction, vous pouvez initier davantage de changements et limiter considérablement le nombre de directives à suivre. Mais vous devrez peut-être dans un premier temps adopter un autre point de vue que celui de gestionnaire des technologies. Vous devez vous muer en acteur au service des activités de l’entreprise et pourrez ainsi influencer efficacement les processus décisionnels en matière de risques. Pour asseoir votre crédibilité, abstenez-vous de participer à des réunions tactiques et opérationnelles et privilégiez des rencontres impliquant des dirigeants dans une optique plus stratégique.

Pour faire connaître votre point de vue aux membres du conseil d’administration :

• Déchargez-vous de vos responsabilités tactiques et opérationnelles et renforcez votre engagement auprès de la direction. Vous pouvez envisager de déléguer les questions administratives et opérationnelles (par exemple, la gestion des correctifs, l’administration des utilisateurs) aux équipes informatiques et les formations de sensibilisation des utilisateurs au service de formation des ressources humaines.

• Développez votre expertise pour mieux comprendre les problématiques de la gestion des risques d’entreprise et des indicateurs commerciaux. Vous ne pouvez pas influencer les décisions si vous ne maîtrisez pas parfaitement tous les aspects de votre dossier à prendre en compte. Avant de rencontrer vos interlocuteurs au sein de la direction, prenez le temps de vous renseigner sur la nature et les modalités de leurs investissements, ainsi que sur les défis financiers et opérationnels auxquels ils sont confrontés. Identifiez leurs objectifs prioritaires en analysant les documents produits par l’entreprise et ses différents services (rapports annuels, énoncés de mission). Recensez au moins un indicateur qui soit en phase avec les objectifs stratégiques des équipes de cybersécurité, afin d’établir une corrélation entre le risque, cet indicateur et les mesures que la cybersécurité peut adopter pour influer sur ces mêmes indicateurs utilisés par d’autres dirigeants.