Le RSSI de demain: cinq points à accomplir


La transformation numérique et l’évolution des cyber-risques font émerger de nouvelles priorités et responsabilités qui donnent une toute autre dimension à la fonction, quels que soient les parcours individuels. Désormais, le RSSI s’impose inéluctablement comme un élément stratégique des équipes dirigeantes, sur fond d’élargissement du champ de responsabilité des équipes InfoSec. Concrètement, les responsabilités qui incombaient au RSSI, de par son expérience professionnelle, devront être confiées à d’autres membres de son équipe.

Par exemple, un directeur marketing, anciennement dans les relations publiques, recrutera un responsable RP pour se concentrer sur ses fonctions de dirigeant. De même, le « technicien devenu cadre » devra désormais s’appuyer sur les autres membres de son équipe. Ces derniers auront la responsabilité de suivre les avancées en matière de sécurité et deviendront la source d’informations techniques la plus crédible. À mesure qu’ils se recentrent sur leurs fonctions de dirigeant et s’entourent de collaborateurs qualifiés, les RSSI devront se pencher sur cinq grandes priorités :

1 – Combler la pénurie de compétences en cybersécurité et accentuer le travail de sensibilisation

La capacité à résoudre ce problème grandissant et ô combien d’actualité posera les bases de toutes les missions d’un RSSI pour les années à venir. Face à une cybersécurité en perpétuelle évolution, le recrutement de nouveaux talents ne suffit pas. Il est également nécessaire de mettre en place des programmes de formation continue et de développement des compétences pour les équipes existantes. Par ailleurs, à l’heure où les pôles d’activité de l’entreprise migrent leurs données et leurs services dans le cloud, les RSSI doivent développer des programmes et des équipes chargés de sensibiliser toute l’entreprise aux questions de cybersécurité et d’hygiène numérique.

2 – Intégrer les législations et règlementations régionales à la stratégie de cybersécurité

Pour faire face à la complexité des lois sur la protection des données et le respect de la vie privée, les multinationales doivent développer des équipes stratégiques au niveau régional. Prenons le cas du RGPD. Compte tenu du nombre d’entreprises concernées dans le monde, ce règlement a une portée internationale. Pour ces entreprises, l’enjeu consiste donc à réunir des compétences capables d’aborder les problématiques réglementaires dans un contexte européen, sans pour autant perdre de vue les législations canadiennes et états-uniennes, par exemple.

3 – Adopter la philosophie DevOps

L’approche DevOps a pour objectif de lever les barrières techniques entre l’informatique, les développeurs et les équipes de sécurité. Elle repose sur l’automatisation des tâches de déploiement, de maintenance et de sécurité que ces équipes ont exécutées manuellement et séparément jusqu’à présent. Pour les RSSI et les équipes de sécurité, l’approche DevOps se traduit par une priorisation de la cybersécurité dès les prémisses de tout projet informatique.

Ainsi, les RSSI qui s’approprient ce concept et donnent aux DevOps une place prépondérante dans leur équipe opèreront en phase avec le reste de leur entreprise dans les années à venir.

4 – Sécuriser les appareils IoT des salariés et de l’entreprise

D’après une étude Gartner, le nombre d’objets connectés dans le monde devrait dépasser les 20 milliards d’ici 2020. Or, la prolifération de ces objets augmente d’autant la surface de risque. Les RSSI devront donc protéger les appareils IoT de l’entreprise, mais aussi les terminaux personnels qui accèdent aux réseaux. Souvent, ces appareils se connectent à des ordinateurs portables et téléphones mobiles d’entreprise dotés d’un droit d’accès au réseau. On peut donc raisonnablement supposer que la compromission d’un appareil personnel fera courir un risque au réseau de l’entreprise. D’où l’importance pour les RSSI prévoyants de réfléchir à un dispositif de défense contre les menaces associées et d’en confier la gestion à la personne la plus compétente.

5 – S’aligner sur les équipes produits et de sécurité physique

Bien qu’elles n’opèrent pas actuellement sous la responsabilité du RSSI, la créativité sans bornes des cybercriminels promet de rendre ces équipes de plus en plus interdépendantes. C’est pourquoi les RSSI doivent veiller à harmoniser leur action avec celle des responsables de ces fonctions. Objectif : garantir une cybersécurité cohérente à travers tous les domaines de l’entreprise.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*