Adaptez votre programme de cybersécurité pour le rendre autonome, innovant et agile.
Adaptez votre programme de cybersécurité pour le rendre autonome, innovant et agile.
Les responsables de la cybersécurité sont confrontés au défi de répondre aux pressions croissantes les incitant à accroître le nombre de projets, accélérer les délais d’exécution et faire preuve d’une plus grande souplesse et d’une plus grande capacité d’adaptation aux besoins individuels. Ils doivent en outre composer avec des ressources limitées. Comment les responsables de la cybersécurité peuvent-ils répondre à ces exigences sans pour autant risquer le surmenage ? Ce rapport de recherche vous permet de découvrir :
L’acquisition, la création et la prestation de ressources technologiques ne sont plus assurées par des services informatiques centralisés, mais par des unités d’exploitation, des services de l’entreprise, des équipes mixtes et des employés individuels. Adaptez votre programme de cybersécurité aux nouvelles conditions d’adoption des technologies en mettant l’accent sur trois points essentiels.
Les RSSI sont confrontés à la multiplication des risques informatiques, qui croissent à un rythme exponentiel, non seulement en termes de volume, mais ces derniers gagnent aussi en complexité et touchent un plus grand nombre de postes. Le personnel chargé de la cybersécurité ne peut pas examiner (ni même identifier) chacun de ces risques, cependant on peut craindre qu’une absence de contrôle et de visibilité conduise à des risques inacceptables.
Dans le même temps, les PDG et les dirigeants d’entreprise intègrent directement les fonctions technologiques dans les activités de l’entreprise, et un nombre croissant d’employés effectuent des tâches qui impliquent la personnalisation, l’élaboration ou l’acquisition de solutions technologiques. Le nombre et la complexité des décisions de gestion des risques prises en marge de l’entreprise l’emportent désormais sur celles prises par les groupes informatiques et de cybersécurité centraux.
La tendance à « centraliser pour décentraliser » représente une nouvelle approche de la gouvernance de la cybersécurité. Aujourd’hui, la centralisation des décisions traduit une approche plus réfléchie (et modulable) qui met l’accent sur une politique flexible et centralisée tout en soutenant une prise de décision au niveau local. Les règles régissant les contrôles sont élaborées au niveau local et les décisions prises localement viennent s’inscrire dans le cadre d’une politique gérée de manière centralisée.
Pour que cette approche soit viable, mettez en place des comités directeurs ou des équipes chargées de la gouvernance, des risques et de la conformité afin de définir les politiques et les processus qui permettront aux responsables décisionnels locaux de faire les bons choix. Si vous entendez les responsabiliser, veillez à ce qu’il leur soit facile de se conformer aux principes qui sont les vôtres.
Privilégier les modèles agiles et non les modèles décisionnels en cascades permet d’assurer la modularité de votre système d’évaluation des risques informatiques. La plupart des décisions et des mesures liées aux risques informatiques sont désormais prises par des équipes de produits ou des unités opérationnelles qui font appel à des processus agiles, et ne sont plus contrôlées de manière centralisée par des procédures en cascade à plusieurs étapes. Il ne suffit pas de procéder à des modifications superficielles ; les programmes de cybersécurité doivent radicalement évoluer pour prendre en charge les nouveaux modèles d’exploitation :
Créez de nouveaux postes au sein des équipes locales et décentralisées (responsables de la sécurité de l’information de l’entreprise, responsables locaux de la sécurité de l’information, champions de la sécurité).
Harmonisez les nouvelles méthodes de travail et les nouveaux processus (DevSecOps, modèles axés sur le cloud).
Élaborez des processus modulables qui font remonter avec discernement les conflits, les risques résiduels importants et les demandes exceptionnelles pour bénéficier au plus vite d’une assistance concrète.
Quant aux règles à mettre en œuvre, la simplicité est de mise. Les RSSI consolident ou allègent (et en aucun cas ils ne viennent les étoffer) ces règles afin de les simplifier pour l’utilisateur. Si les utilisateurs finaux sont impliqués dans l’élaboration de ces règles, vous donnez aux responsables de la gestion des risques et des données le contrôle et la flexibilité nécessaires pour appliquer les normes et mettre en œuvre les solutions qui leur conviennent le mieux. Autrement dit, un organe central doit définir le contenu de ces règles et les modalités de mise en œuvre doivent être déterminées au niveau local.
En vous faisant connaître auprès de la direction, vous pouvez initier davantage de changements et limiter considérablement le nombre de directives à suivre. Mais vous devrez peut-être dans un premier temps adopter un autre point de vue que celui de gestionnaire des technologies. Vous devez vous muer en acteur au service des activités de l’entreprise et pourrez ainsi influencer efficacement les processus décisionnels en matière de risques. Pour asseoir votre crédibilité, abstenez-vous de participer à des réunions tactiques et opérationnelles et privilégiez des rencontres impliquant des dirigeants dans une optique plus stratégique.
Pour faire connaître votre point de vue aux membres du conseil d’administration :
Déchargez-vous de vos responsabilités tactiques et opérationnelles et renforcez votre engagement auprès de la direction. Vous pouvez envisager de déléguer les questions administratives et opérationnelles (par exemple, la gestion des correctifs, l’administration des utilisateurs) aux équipes informatiques et les formations de sensibilisation des utilisateurs au service de formation des ressources humaines.
Mettez en avant des arguments convaincants illustrant le potentiel de création de valeur du service de cybersécurité pour renforcer sa crédibilité. La cybersécurité est toujours perçue comme un « bureau régi par la formulation d’injonctions ». Il faut donc veiller à ce que votre service ne soit plus cantonné à un rôle de centre technologique, mais qu’il devienne un outil de développement de l’entreprise. Une présentation chiffrée de votre contribution peut illustrer que les réalisations obtenues en matière de cybersécurité génèrent une plus grande valeur ajoutée pour l’entreprise. Pour convaincre les dirigeants, établissez un lien entre votre argumentaire et des objectifs commerciaux clairs, et adaptez votre message aux priorités des parties prenantes.
Rejoignez vos pairs pour assister à des conférences Gartner où vous découvrirez les dernières informations pertinentes.
Les principales tendances dans le domaine de la cybersécurité incluent cette année :
Optimiser en vue du renforcement de la résilience
Optimiser pour bénéficier de meilleures performances
Les mesures visant à assurer une résilience optimale passent par une gestion continue de l’exposition aux menaces, un renforcement des capacités de cybersécurité de la gestion des identités et des accès, une gestion des risques de cybersécurité par des tiers et des applications axées sur la protection de la vie privée.
L’optimisation des performances fait intervenir l’IA générative, des programmes relatifs au comportement et à la culture de la sécurité, des mesures axées sur les résultats, une évolution des modèles d’exploitation des programmes de cybersécurité et le renouvellement des compétences.
Les compétences dont les équipes de cybersécurité ont besoin évoluent radicalement, mais les responsables de la cybersécurité continuent de recruter en fonction de profils et de compétences hérités du passé. Les responsables de la sécurité et gestion des risques doivent faire évoluer les compétences de leurs équipes en formant à nouveau les collaborateurs en poste et en recrutant de nouveaux talents qui auront de nouveaux types de profils. 50 % des grandes entreprises feront de la formation agile leur principale méthode de perfectionnement et de requalification d’ici à 2026.
Adoptez les mesures suivantes :
Élaborez un plan de formation du personnel en cybersécurité.
Recrutez en prévision des évolutions de demain et non plus en fonction des besoins antérieurs.
Favorisez une culture de formation qui adopte le modèle agile.
Le terme « risques informatiques » se réfère aux risques qui peuvent avoir des incidences sur les objectifs et les valeurs d’une entreprise en termes de pertes financières, de rupture des opérations, de préjudices ou de pertes causés par la défaillance des technologies employées pour les fonctions informationnelles et/ou opérationnelles au sein d’environnements numériques interconnectés.
Les professionnels de la gestion des risques informatiques doivent adopter des pratiques permettant d’évaluer et de hiérarchiser ces risques, de corréler les mesures de protection aux objectifs de leur entreprise et à la gestion des risques d’entreprise, mais ils doivent également faciliter la décentralisation des responsabilités et de la prise de décision.