CISO / RSSI : les 10 conseils pour bien démarrer ! (deuxième partie)

Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cache des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (deuxième partie).

Accompagner les nouveaux projets.

L’IT évolue vite. Le CISO et ses équipes sont confrontés aux migrations vers les plateformes publiques IaaS et PaaS, à la généralisation des « containers » qui rend plus floues les responsabilités entre le monde du développement et des opérations et aux migrations vers les solutions SaaS. Comme l’IT se réinvente, la sécurité doit renouveler ses méthodes. Si les grands principes de gestion des risques (analyser, décider des mesures de traitement et accepter les risques résiduels) restent valables, le CISO doit rechercher une posture d’accompagnateur agile plutôt que de censeur. Les phases de cet accompagnement sont : la compréhension fine de l’architecture fonctionnelle et technique (quels flux de données, quelles API, quelle infrastructure technique, quels accès…), la classification des informations, l’adaptation des mesures de sécurité (authentification et gestion des identités, sécurité opérationnelle, chiffrement, traçabilité…) et enfin les tests de sécurité (audit de l’architecture, tests d’intrusion, audit de la configuration des composants). En fonction du contexte et de ses moyens, le CISO devra définir le cadre de cet accompagnement projet. On peut s’appuyer sur des guides méthodologique comme le NIST 800–160 (Systems Security Engineering ) pour appliquer les principes de conception sécurisée.

Communiquer pour renforcer la culture sécurité.

Le CISO doit mettre en place une démarche de communication. Ses objectifs sont multiples. Il s’agit bien entendu des actions de sensibilisation des utilisateurs (employés, prestataires, stagiaires, intérimaires…) afin de renforcer leur niveau de compréhension des cyber-menaces. Dans ce domaine, c’est la diversification des moyens (serious game, test de phishing, intranet, affiches…), la précision et la qualité des messages qui donneront les meilleurs résultats. Communiquer, c’est aussi avoir des relations régulières avec les autres départements, métiers et IT qui doivent comprendre l’organisation de la sécurité. Le CISO pourra par exemple intervenir quelques minutes pendant une réunion d’équipe ou un comité de direction. L’objectif est de nouer un véritable partenariat afin que les métiers et l’IT comprennent ce que fait la sécurité , les enjeux et qu’une confiance réciproque se développe.

Définir un système d’indicateurs de performance.

Le CISO doit assez rapidement être en mesure d’évaluer le niveau de la sécurité de son entité et faire remonter ces informations vers son management. Le directeur ou la directrice général(e) et les membres du comité exécutif entendent parler régulièrement des incidents de sécurité dans les médias (tel Ransomware a touché tel grand groupe, tel entité a subi une fraude au président, telle société a été confrontée à une attaque ciblée…). Le management se pose donc régulièrement la question de savoir où il en est en termes de cybersécurité dans sa société. Le CISO doit proposer un système d’indicateurs à bon niveau pour piloter l’activité et répondre à cette interrogation. Pour une entité visant la certification ISO 27001, ces indicateurs seront proposés et analysés à chaque revue de direction. A ce titre, l’ISO 27004 donne des conseils pour bâtir son système de reporting. Les indicateurs pertinents sont diverses, par exemple l’avancement des plans de remédiation suite aux audits internes et externes, les incidents de sécurité et les plans d’action, l’avancement des programmes et projets de sécurité, , les évaluations suite aux campagnes de sensibilisation, le niveau de la sécurité opérationnelle (correctifs de sécurité, niveau de durcissement des configurations, force des mots de passe…) et le suivi budgétaire.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RSSI, CISO