Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cache des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (deuxième partie).
Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cachent des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (première partie).
Le référentiel « CIS Controls » est régulièrement mis à jour par l’organisation Center For Internet Securityqui produit aussi les guides « CIS benchmarks »massivement utilisés pour durcir les systèmes. Le référentiel CIS est un catalogue de bonnes pratiques en cyber sécurité. Il est adapté aussi bien pour les petites entreprises que pour les grands groupes. Ce référentiel est au programme du domaine 1 de la certification CISSP au même titre que d’autres documents : ISO 27002, NIST 800-53 ou encore référentiel « NIST CSF ». Il fait partie de la même catégorie que le guide d’hygiène de l’ANSSI en France.
Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est abondamment utilisé. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 2700 et le catalogue NIST 800-53 pour tous les domaines d’activités. Il est au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP.
