5 étapes pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise

D'après une étude indépendante sur le risque pour l'entreprise, les responsables sécurité et les dirigeants qui s'accordent sur les données contextuelles à utiliser obtiennent des résultats tangibles. Voici comment y parvenir.

Quelque chose cloche dans les processus de cyber-sécurité. Nous, les responsables sécurité, sommes submergés de données. Nous pouvons vous dire combien de vulnérabilités sont présentes. Nous pouvons vous indiquer combien de correctifs nous avons déployés. Nous savons tout ce qu'il faut savoir sur les dernières menaces. Pourtant, malgré toutes ces informations à notre disposition, la majorité d'entre nous avons du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? » en toute confiance.

Pourquoi ? Parce qu'il nous manque une information essentielle : le contexte de l'entreprise.

L'équation type que nous utilisons pour calculer le niveau de sécurité ou de vulnérabilité d'une entreprise mêle assets, contrôles de sécurité, menaces et vulnérabilités. Sans contexte de l'entreprise (sans comprendre quels assets sont les plus critiques pour permettre à l'entreprise de créer sa valeur essentielle et quels contrôles de sécurité sont appliqués pour chacun de ces assets), les résultats de tout calcul de risque de sécurité sont, au mieux, incomplets.

Mais les responsables sécurité ne peuvent pas comprendre le contexte de l'entreprise en travaillant en vase clos. Il faut atteindre un certain niveau d'alignement stratégique entre l'entreprise et la cyber-sécurité qui fait défaut dans la plupart des sociétés. En effet, une étude réalisée par Forrester Consulting à la demande de Tenable montre qu'il existe un fossé important entre l'entreprise et les équipes de sécurité. Selon l'étude, qui repose sur une enquête menée auprès de 416 responsables sécurité et 425 dirigeants, seuls 54 % des responsables sécurité et 42 % des dirigeants interrogés affirment que leurs stratégies de cyber-sécurité sont parfaitement ou étroitement alignées sur les objectifs de l'entreprise. Moins de la moitié des responsables sécurité interrogés déclarent consulter très fréquemment les dirigeants lorsqu'ils développent leur stratégie de cyber-sécurité. Pire encore, quatre dirigeants sur dix consultent rarement (voire jamais) les responsables sécurité lorsqu'ils développent les stratégies de l'entreprise.

« Le plus grand défi est peut-être de faire en sorte que les chefs d'entreprise s'intéressent et comprennent que ce sont eux qui doivent assumer les risques de cyber-sécurité », a déclaré Jose Maria Labernia Salvador, responsable de la sécurité IT et des contrôles internes chez LafargeHolcim IT EMEA à Madrid, lors d'un entretien avec Tenable. « La cyber-sécurité est un sujet qui relève de l'entreprise, même s'il est très orienté IT. Le service IT peut apporter assistance et conseils, mais les interlocuteurs des différentes fonctions de l'entreprise et les cadres dirigeants ont aussi un rôle très important à jouer. »

L'étude Forrester montre que lorsque la sécurité est alignée sur les objectifs de l'entreprise, les résultats obtenus sont remarquables. Par exemple, les responsables sécurité alignés sur les objectifs de l'entreprise :

• Sont préparés à rendre compte du niveau de sécurité et de risque. Le responsable sécurité aligné sur les objectifs de l'entreprise est huit fois plus sûr que ses homologues fonctionnant en vase clos de pouvoir rendre compte du niveau de sécurité ou de risque de son entreprise.
• Sont prêts à démontrer le retour sur investissement de leurs initiatives de sécurité. La grande majorité des responsables sécurité alignés sur les objectifs de l'entreprise (85 %) ont défini des métriques pour suivre le retour sur investissement de la cyber-sécurité et son impact sur les performances de l'entreprise, contre seulement 25 % de leurs homologues en vase clos à l'approche plus réactive.
• Ont un processus d'analyse comparative défini. Près de neuf responsables sécurité alignés sur les objectifs de l'entreprise sur dix (86 %) ont un processus qui articule clairement les attentes et démontre une amélioration continue du processus par rapport aux autres entreprises et/ou groupes internes. Seuls 32 % de leurs homologues non alignés peuvent en dire autant.

Cela ne veut pas dire que l'initiative d'alignement repose entièrement sur les épaules du responsable sécurité. Certaines entreprises sont culturellement prédisposées à créer des environnements cloisonnés. Quels que soient les efforts investis, si vous travaillez pour l'une de ces entreprises, vous aurez toujours du mal à vous aligner sur les interlocuteurs clés.

Si vous n'êtes pas sûr de la position de votre entreprise en matière d'alignement, il y a un moyen rapide de le savoir : si l'entreprise a créé un poste de BISO (Business Information Security Officer), votre entreprise se situe à l'extrémité la plus mature de l'échelle de l'alignement. Selon l'étude Forrester, la grande majorité des départements alignés sur les objectifs de l'entreprise (80 %) comptent un BISO (Business Information Security Officer) ou un rôle à l'intitulé similaire, contre 35 % des départements qui n'ont pas opéré de réel alignement.

Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Si vous avez la chance de travailler pour une entreprise où l'alignement est déjà bien avancé, la voie à suivre pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise sera assez claire, même si elle vous demandera des efforts considérables. Mais si vous travaillez pour une entreprise encore peu mature dans ce domaine, la tâche sera encore plus ardue pour vous. Comme il n'existe pas d'approche unique, j'ai décliné les lignes directrices suivantes en trois versions, en fonction du niveau de maturité de votre alignement, dans l'espoir que l'une de ces options constituera un point de départ pertinent pour vous.

Cinq étapes pour améliorer l'alignement sur les objectifs de l'entreprise à chaque niveau de maturité

Source : Tenable, septembre 2020

Quelle que soit la position de votre entreprise dans le spectre alignement/maturité, il est dans votre intérêt de suivre les conseils de Kevin Kerr, RSSI de l'Oak Ridge National Laboratory à Oak Ridge, dans le Tennessee. Lors d'un entretien avec Tenable, M. Kerr offrait les conseils suivants : « Les RSSI doivent sortir de leur bureau et aller au contact, parler aux employés, quel que soit leur niveau hiérarchique, leur demander quels sont leurs objectifs et préoccupations, comprendre ce qui se passe. Ne parlez pas seulement aux employés du service IT, car leur point de vue est biaisé. Allez voir ce qu'il se passe dans les différentes fonctions de l'entreprise et écoutez ce que leurs acteurs ont à dire ». Bien entendu, dans le cadre de la pandémie de COVID-19, vous devrez peut-être aller au contact des employés de manière virtuelle. Mais que vous leur parliez en face à face ou via Zoom, cette initiative aura un impact positif sur votre entreprise et votre carrière. « Vous vous ferez connaître », explique M. Kerr. « Si les employés savent que votre but est de les aider à trouver le meilleur moyen de faire leur travail tout en protégeant l'entreprise, ils vous accueilleront à bras ouverts. Ils ne diront jamais non à l'innovation. »

Devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise est un marathon, pas un sprint. Vous devez apprendre à manier le vocabulaire de la gestion d'entreprise aussi bien que le jargon technique. Mais, comme le note l'étude Forrester, « les menaces de sécurité modernes exigent une nouvelle approche ». L'avenir appartient aux responsables sécurité qui sont prêts à gérer la cyber-sécurité comme un risque pour l'entreprise.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

• Découvrez d'autres conclusions de l'étude
• Téléchargez l'étude dans son intégralité : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise
• Lisez les articles de blog suivants :
  • Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?
  • Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »
  • Ce que les stratégies de réponse au COVID-19 révèlent sur le fossé entre l'entreprise et la cyber-sécurité
  • Communiquer le risque pour l'entreprise : pourquoi les métriques de cyber-sécurité existantes sont inefficaces
• Téléchargez le livre blanc Devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Lisez l'eBook Comment devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Écoutez la série de podcasts Cyber Exposure, « Entretien avec Robert Huber, CSO de Tenable »
• Regardez le webinaire L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise