La journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

L'avenir appartient aux responsables cyber-sécurité qui peuvent aligner leurs objectifs sur ceux de l'entreprise, tout en comprenant le risque encouru par l'entreprise. Voici huit actions quotidiennes que vous pouvez mettre en œuvre  pour y parvenir.

Je travaille dans le domaine de la cyber-sécurité depuis 20 ans. J'ai occupé des postes techniques où j'effectuais des tests d'intrusion et des analyses de malwares. J'ai dirigé des programmes de détection d'intrusion et des centres d'opérations de sécurité et j'étais responsable de la politique et de la conformité pour tous ces éléments. Dans mon rôle actuel chez Tenable, je gère les relations avec les fournisseurs pour 40 outils de sécurité et je peux vous dire, avec un degré de précision raisonnable, ce que chacun de ces outils accomplit au quotidien et comment il fonctionne. Je peux vous donner une liste de toutes les vulnérabilités que nous avons corrigées, en indiquant sur quels systèmes, au cours des 30 derniers jours. Mais lors de mes échanges avec les dirigeants et le conseil d'administration, que ce soit dans mon poste actuel ou dans les précédents, rien de tout cela n'a d'importance.

En fin de compte, on me pose toujours la même question : « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Et, depuis 20 ans, répondre à cette question est toujours aussi difficile. 

Plus tôt dans l'année, Tenable a chargé Forrester Consulting de mener une étude auprès de plus de 800 dirigeants d'entreprises et responsables cyber-sécurité dans le monde afin de déterminer pourquoi. Voici les conclusions de cette étude : il existe un fossé persistant entre la cyber-sécurité et les dirigeants qui est aggravé par les limites liées aux technologies, aux processus et aux données disponibles pour les responsables sécurité.

Mais nous serions mal avisés de ne pas tenir compte également des facteurs humains qui sont au cœur de ce fossé.

Le langage de l'entreprise comme deuxième langue

Les RSSI et autres responsables cyber-sécurité occupent une place particulière au sein de l'équipe dirigeante. Nous devons maîtriser le langage technique et le langage de l'entreprise. Pourtant, contrairement à nos collègues de la direction financière ou du service commercial (qui peuvent avoir un diplôme en gestion d'entreprise ou une formation similaire), de nombreux responsables cyber-sécurité ont une formation technique, par exemple en informatique. Nous gravissons généralement les échelons dans les filières techniques d'une entreprise. Cela nous désavantage immédiatement lorsque nous arrivons enfin à un poste de cadre supérieur ou de dirigeant. 

La technologie est notre première langue. Les outils et les processus que nous utilisons sont tous basés sur le langage technique et nous donnent des résultats que nous pouvons clairement exprimer dans notre « langue maternelle ». La plupart d'entre nous avons appris le langage de l'entreprise en deuxième langue, mais il existe toujours un décalage, en partie parce que les outils et les cadres qui nous permettent de faire notre travail ne se prêtent pas aisément à la traduction.

« Nous devons savoir comment traduire un tas de choses que nous découvrons en matière de sécurité et faire en sorte que ces informations soient pertinentes pour l'entreprise », a déclaré Rick Vadgama, vice-président et directeur des services d'information et de communication (RSSI) d'une plateforme mondiale de voyage en ligne, lors d'un entretien avec Tenable. « Il y a beaucoup de professionnels de l'InfoSec qui comprennent très bien les vulnérabilités ou les exploits, mais qui ne savent pas comment les communiquer dans un langage clair. Ils ne savent pas comment rendre l'information facile à comprendre. »

Rick Vadgama, qui s'est spécialisé dans la finance et la comptabilité à l'université et a occupé des fonctions commerciales au début de sa carrière avant de réaliser que ce n'était pas sa vocation et de se tourner vers l'IT, a déclaré que son expérience diversifiée lui était d'une aide précieuse dans son rôle actuel. « Je comprends l'aspect commercial. Je comprends l'aspect financier. Et puis, parce que j'ai gravi les échelons dans l'IT et que j'ai exercé diverses fonctions, notamment celle de directeur IT ayant la responsabilité des réseaux et des groupes de développement, j'ai aussi de l'expérience dans ces domaines. Ainsi, lorsque j'ai commencé à travailler dans le secteur de la sécurité, je connaissais déjà le contexte et je savais comment combler ce fossé entre les techniciens et le reste de l'entreprise. »

Voici le conseil que Rick donnerait aux responsables cyber-sécurité qui ont gravi les échelons : « Sortez du domaine de la sécurité et expérimentez d'autres fonctions pendant un certain temps, afin de mieux comprendre dans quel contexte se gère une activité ou un groupe, puis revenez à l'InfoSec ».

Une journée de travail bien remplie

Déjà en 2003 une étude de l'institut SANS formulait ainsi les défis, qui sont toujours d'actualité à ce jour : « les responsabilités des [RSSI] sont uniques. Même celles des DSI ne sont pas aussi étendues. »

L'étude SANS précise que les responsabilités suivantes sont parmi les plus importantes exercées par la plupart des RSSI :

• Agir en tant que représentant de l'entreprise lorsque les clients, les partenaires et le grand public posent des questions sur la stratégie de sécurité de l'entreprise.
• Agir en tant que représentant de l'entreprise lors des échanges avec les forces de l'ordre tout en recherchant l'origine des attaques réseau et du vol d'informations par des employés.
• Trouver un équilibre entre les besoins de sécurité avec le plan d'activité stratégique de l'entreprise, identifier les facteurs de risque et trouver des solutions.
• Élaborer des politiques et des procédures de sécurité qui assurent une protection adéquate des applications d'entreprise sans interférer avec les besoins essentiels de l'activité.
• Planifier et tester les réponses aux violations de sécurité, y compris la possibilité de parler de l'événement avec les clients, les partenaires ou le grand public.
• Superviser les tests de sélection, le déploiement et la maintenance des produits matériels et logiciels de sécurité ainsi que les accords d'externalisation.
• Superviser une équipe d'employés chargés de la sécurité de l'entreprise, allant des techniciens de réseau qui gèrent les pare-feu aux agents de sécurité.

Compte tenu de l'étendue de vos responsabilités, vous avez peut-être du mal à savoir comment prioriser l'utilisation de votre temps au cours d'une journée. La plupart d'entre nous préféreraient rester dans leur zone de confort et se focaliser sur les trois dernières responsabilités (plus techniques) en passant nos journées à nous préparer aux incidents et à superviser des actions conçues pour réduire la probabilité qu'ils se produisent. 

Mais si nous restons dans notre zone de confort, nous ne pourrons pas protéger notre entreprise. Selon l'étude de Forrester «  L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise », 94 % des entreprises ont subi une cyber-attaque ayant des répercussions sur l'activité au cours des 12 derniers mois, avec au moins l'une des conséquences suivantes : perte de données client, de données employé ou d'autres données confidentielles, interruption des opérations quotidiennes, versement d'une rançon, perte financière ou détournement de fonds et/ou vol de propriété intellectuelle. Et la grande majorité des personnes interrogées (77 %) s'attendent à ce que les cyber-attaques augmentent dans les deux prochaines années.

L'étude révèle également que 66 % des dirigeants n'ont, tout au plus, qu'une certaine confiance en la capacité de leur équipe de sécurité à quantifier le niveau de risque ou de sécurité de leur entreprise. 

Devenir un responsable sécurité aligné sur les objectifs de l'entreprise en 8 étapes

Il est clair que quelque chose doit changer. En tant que responsables sécurité, nous devons trouver des méthodes pour mieux nous aligner sur les objectifs de l'entreprise. Et cela exige des efforts quotidiens. Nous devons être attentifs à la façon dont nous priorisons nos différentes tâches pour nous assurer d'avoir structuré les opérations de manière à avoir suffisamment de temps à consacrer à cet alignement.

« Pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise, le plus important est d'apporter de la valeur à l'entreprise et de créer un cycle d'engagement commun », a déclaré Jose Maria Labernia Salvador, responsable de la sécurité IT et du contrôle interne pour LafargeHolcim IT EMEA à Madrid, lors d'un entretien avec Tenable. « Il est également très important de prendre en compte l'ensemble de l'entreprise lors de la définition de votre vision et de votre mission, et une relation de confiance et de partenariat doit être établie pour s'assurer qu'un canal de communication direct est en place ».

Selon Rick Vadgama, il est essentiel de faire l'effort d'établir des relations de confiance dans toute la structure. Dans son entreprise actuelle, la possibilité de participer au comité de protection de la vie privée lui a donné l'occasion de collaborer notamment avec les responsables de l'équipe juridique ainsi qu'avec les responsables de la gestion et de l'ingénierie des produits. Mais même sans comité officiel, il est possible de nouer des contacts dans toute l'entreprise.

« Il ne s'agit pas seulement de rencontrer l'équipe IT », a déclaré Rick Vadgama. « Il s'agit aussi de rencontrer les ingénieurs, les responsables du marketing et des ventes, etc. et de développer ces relations. Ainsi, lorsque nous trouvons quelque chose que ces équipes doivent gérer et que je vais les voir, ils me disent : " D'accord. Oui. Nous allons nous en occuper." »

Voici huit pratiques que vous pouvez intégrer dans votre routine de travail et qui vous mettront sur la bonne voie pour un alignement sur les objectifs de l'entreprise :

1. Passez du temps chaque jour à examiner les communications externes de votre entreprise. Soyez attentif à ce que les dirigeants de votre entreprise transmettent via des états financiers, des communiqués de presse, des articles de presse, des sites de médias sociaux et des forums du secteur.
2. Prévoyez du temps avec les dirigeants pour comprendre leurs défis quotidiens et nouer des liens avec eux. Demandez-leur de quelle manière leurs performances sont mesurées. Aidez-les à considérer la sécurité comme un outil qui répond à leurs besoins plutôt que comme un obstacle. Ainsi, ils seront plus enclins à vous impliquer plus en amont dans leurs plans stratégiques.
3. Tenez-vous au courant des priorités et des défis auxquels sont confrontées les entreprises de votre secteur. Rejoignez des associations ou des organisations professionnelles, lisez des articles B2B dans des revues spécialisées, participez à des webinaires et à d'autres événements du secteur. Ce faisant, vous acquerrez un vocabulaire usuel et des perspectives importantes pour vous aider à mieux aligner vos initiatives de sécurité sur les besoins uniques de votre entreprise.
4. Discutez régulièrement avec les membres de l'équipe dirigeante pour savoir ce qui les préoccupe. Ce n'est qu'en comprenant les problèmes rencontrés par l'entreprise au sens large que vous pourrez commencer à vraiment comprendre ce que le « risque » signifie pour votre entreprise.
5. Utilisez les rapports d'activité trimestriels pour en savoir plus sur l'entreprise. Retenez bien les priorités stratégiques et les difficultés rencontrées par vos homologues et prenez en compte les facteurs externes qui les influencent. Soyez attentif à la façon dont chaque dirigeant démontre un retour sur investissement et adaptez vos propres métriques de retour sur investissement en conséquence.
6. Développez un réseau de conseillers de confiance au sein de l'entreprise. Entourez-vous de mentors issus de tous les domaines de l'entreprise pour vous guider et vous aider à communiquer plus efficacement.
7. Nouez des liens avec les professionnels du risque au sein de votre entreprise. La cyber-sécurité est à la fois un risque en soi et un facteur dans les conversations concernant tous les autres risques pour l'entreprise. Découvrez comment vous pouvez participer efficacement à l'élaboration de stratégies de gestion des risques qui placent la cyber-sécurité au premier plan.
8. Soyez attentif aux relations que l'entreprise entretient avec des tiers. Vous avez des informations sur les principales, comme celles avec les fournisseurs qui s'occupent de la paie ou de la planification des ressources de l'entreprise. Mais quel est votre degré de visibilité sur les outils et les plateformes utilisés par votre équipe web ou par les prestataires de service et de support qui assurent la maintenance des technologies opérationnelles de votre entreprise ?

Trouver du temps pour toutes ces étapes, en plus d'effectuer efficacement toutes les autres tâches qui vous incombent, peut sembler insurmontable. Vous ne pourrez pas tout faire en même temps. Choisissez une ou deux étapes, celles qui vous parlent le plus, et commencez par là.

Une approche consiste à « commencer par les dirigeants », a déclaré Labernia. Les dirigeants sont généralement très ouverts à la discussion une fois qu'ils ont compris la complexité et les risques de la situation actuelle en matière de cyber-sécurité. Vous pouvez ensuite vous intéresser progressivement à d'autres domaines clés de l'entreprise. Posez des questions plutôt que de rester dans l'ombre. Vous trouverez un moyen pour assurer la gestion de l'entreprise en toute sécurité une fois que vous connaîtrez ses objectifs ».

Si vous choisissez activement de sortir de votre zone de confort et de vous aligner davantage sur les objectifs de l'entreprise, celle-ci ne sera pas la seule à en profiter. Vous ferez également évoluer votre carrière en vous donnant les moyens de figurer parmi ceux qui pilotent les stratégies de gestion des risques pour l'entreprise.

Lisez cette série d'articles de blog : Comment devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise

Les articles de cette série portent sur les défis liés à l'alignement de la cyber-sécurité sur les objectifs de l'entreprise et aux raisons pour lesquelles les responsables cyber-sécurité ont du mal à répondre à la question « Quel est notre niveau de sécurité ou de vulnérabilité ? ». Nous avons également observé ce que les stratégies de réponse au COVID-19 révélaient sur le fossé entre l'entreprise et la cyber-sécurité, cherché à savoir pourquoi les métriques de cyber-sécurité existantes étaient inefficaces pour communiquer le cyber-risque, exploré 5 étapes pour devenir un responsable cyber-sécurité aligné sur les objectifs de l'entreprise et donné un aperçu de la journée type d'un responsable cyber-sécurité aligné sur les objectifs de l'entreprise.

En savoir plus

• Découvrez d'autres conclusions de l'étude ici
• Téléchargez l'étude complète : L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise
• Lisez les articles de blog suivants :
  • Aligner cyber-sécurité et objectifs de l'entreprise : qui a dit que c'était facile ?
  • Pourquoi les responsables cyber-sécurité peinent à répondre à la question « Notre entreprise est-elle vraiment sécurisée ? »
  • Ce que les stratégies de réponse au COVID-19 révèlent sur le fossé entre l'entreprise et la cyber-sécurité
  • Communiquer le cyber-risque : pourquoi les métriques de cyber-sécurité existantes sont inefficaces
  • 5 étapes pour devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Téléchargez le livre blanc Devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Lisez l'eBook Comment devenir un responsable sécurité aligné sur les objectifs de l'entreprise
• Écoutez la série de podcasts Cyber Exposure, « Entretien avec Robert Huber, CSO de Tenable »
• Regardez le webinaire L'ascension des responsables de la sécurité alignés sur les objectifs de l'entreprise