Les indispensables d’un RSSI pour 2024
Introduction
Aujourd’hui, la cybersécurité est une composante essentielle à prendre en compte dans une perspective de gestion de risques. Dans son dernier baromètre des risques, Allianz, 1ere marque générale d’assurance, souligne l’augmentation drastique du risque lié à la cybersécurité ces dernières années, obtenant la première place du podium des risques devant même les risques d’interruption des activités de l’entreprise, ceux de fluctuations des marchés économiques ou encore ceux liés à l’environnement.
Opérations ciblées ou au contraire massives et indiscriminées, recherchant de la discrétion ou la paralysie complète, la menace cyber est protéiforme. L’objectif est multiple : déstabiliser l’entreprise via la cybercriminalité financière ; porter atteinte à l’image ou à la réputation de l’entreprise (intelligence économique offensive) ; espionner les activités économiques ou industrielles ou organiser des opérations de cybersabotage.
Dans ce paysage très conflictuel, le RSSI joue un rôle déterminant en tant que Responsable Sécurité des Systèmes d’Information. Il doit prendre en considération de nombreuses perspectives technologiques, humaines, ou encore réglementaires, qui sont également de plus en plus évolutives. Au vu de l’évolution de son rôle et de la menace cyber, un RSSI peut-il encore porter son attention sur les mêmes indicateurs qu’auparavant dans une logique d’évaluation et de gestion du risque efficiente ?
La fonction de RSSI, à l’origine même de la gestion du risque cyber
Le traitement de la cybersécurité au sein d’une organisation n’est actuellement plus le même qu’il y a quelques années. La perspective est bien différente d’une posture périmétrique où il s’agissait avant tout de protéger un objet en particulier et mettre « un mur » de sécurité autour de ce dernier pour qu’il ne soit pas atteignable. Aujourd’hui, la cybersécurité s’inscrit dans un processus de sécurisation collective et de démarche proactive, en témoigne le rôle varié du RSSI.
En effet, bien au-delà du terme barbare de R-S-S-I donnant un aspect avant tout technique à cette fonction, ce dernier dispose au contraire d’un rôle large et transversal à la fois opérationnel, juridique, technique, organisationnel et stratégique. Il agit en tant que conseiller, politique, mais aussi agent de changement au sein de l’organisation, avec une posture parfois de manager afin d’optimiser l’efficacité des projets menés, toujours dans une conception large du risque cyber et de résilience.
Naviguant à travers les différents services de l’entreprise ou de l’administration (commerciaux, marketing, communication, technique, maintenance, direction etc.), le RSSI est capable de transposer les enjeux techniques à chaque composante de l’organisation, afin que chaque acteur soit sensibilisé au risque cyber et dispose ainsi d’une information de qualité et adaptée concernant ce risque. Le RSSI pourra de ce fait insuffler différentes logiques d’adaptation par service dans une logique d’efficacité et de protection continue, garantissant une défense en profondeur. En identifiant les besoins d’informations appropriés, les mesures et procédures mises en place ne seront que plus bénéfiques. Un RSSI est donc également un stratégiste puisqu’il permet de donner une certaine vision aux activités de l’entreprise, tout en s’alignant avec une stratégie de gestion du risque cyber. Et ceci, bien entendu, sans oublier la forte dimension technique. En effet, un RSSI se doit de maîtriser les sujets actuels concernant l’écosystème cyber mais également les différentes évolutions des technologies actuelles et émergentes.
Aujourd’hui, le RSSI a donc un rôle essentiel et grandissant au sein des entreprises. Le dernier rapport Gartner stipule même que 40% des conseils d’administration disposeront d’ici 2025 d’un comité en charge de la cybersécurité, ou au moins un de leurs membres sera chargé de superviser les activités cyber, preuve que la cybersécurité et la fonction de RSSI sont donc bien au cœur des activités stratégiques de l’entreprise.
Les indicateurs essentiels d’un RSSI
Pour pouvoir mener sa mission à terme, le RSSI se référence à plusieurs outils, et a pour guide la norme ISO 27000, véritable livre de chevet du RSSI, définissant les principales exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI) pertinent.
Toutefois, ce rôle diversifié et grandissant du RSSI suppose de facto une prise en considération perpétuelle de nouveaux éléments, en témoigne les évolutions et adaptations récurrentes des modèles référentiels comme le NIST, listant les bonnes pratiques à établir pour un RSSI. Certes, au vu de la richesse du marché, un RSSI dispose d’un large choix de technologies pour répondre à ses besoins. Mais il doit de plus en plus porter une attention particulière à certaines étapes clés, ainsi qu’au facteur humain, au cœur de chaque étape du processus de cyber sécurisation.
L’identification, fer de lance du RSSI
L’identification du risque est l’étape prioritaire à toute action d’un RSSI. C’est en ayant une connaissance précise du risque qui l’incombe qu’un RSSI pourra adapter au mieux sa stratégie. Mais il doit également identifier l’ensemble des ressources qu’il a à sa disposition pour pouvoir répondre à ce dernier. En effet, comment assurer la bonne sécurisation d’un SI si toutes les ressources tant matérielles qu’immatérielles ne sont pas identifiées correctement ? L’identification de l’ensemble des ressources d’un SI permet au RSSI de mesurer qualitativement ce dernier afin d’avoir une compréhension claire du fonctionnement de l’organisation en question, face à un risque cyber identifié.
Comprendre l’architecture même de l’entreprise, ses ressources mais aussi ses risques permettra à un RSSI de pouvoir gérer efficacement la sécurité de son SI en hiérarchisant ses efforts, en adéquation avec ses besoins respectifs et sa stratégie initiale.
En effet, chaque organisation dispose de ressources différentes avec une importance relative en fonction des organisations. Pour que le management des assets soit stratégique, il doit donc être adapté en fonction des appareils, applications, communications, flux de données, et des ressources humaines mobilisées. Cartographier correctement l’environnement global de l’entreprise, mais également celui de ses partenaires et de sa supply chain est une composante essentielle de ce processus d’identification des risques dans son entièreté.
Une fois le risque identifié en fonction des technologies utilisées, il pourra ensuite être qualifié et évalué quantitativement pour mettre en place des procédures de protection.
La protection, élément incontournable du RSSI :
La protection est au cœur même du métier de RSSI. En effet, lorsque l’architecture organisationnelle est entièrement cartographiée et maîtrisée par le RSSI, ce dernier aura pour mission d’élaborer et mettre en œuvre des mesures de sauvegarde appropriées pour assurer avant tout la fourniture des services essentiels critiques de l’organisation, et au mieux l’ensemble des services de cette dernière. Un RSSI doit garder en tête qu’il ne peut pas prévenir toute attaque. Le but est de contenir l’impact d’un éventuel évènement de cybersécurité, et donc de limiter sa propagation et de garantir une forme de résilience.
Pour assurer la protection du SI, le RSSI pourra mettre en place des processus techniques axés sur la gestion des identités, le contrôle des accès, la sécurisation et sauvegarde des données, ou encore sur la mise en place de procédures de protection de l’information et des technologies, en s’appuyant sur certaines technologies de protection dûment choisies. Mais le travail ne s’arrête pas là. Il faut aller au-delà de la simple utilisation d’outils techniques. La protection se fait avant tout par le facteur humain, qui reste une des causes principales aujourd’hui de failles de cybersécurité.
Le RSSI a donc un rôle fondamental dans la sensibilisation et la formation du personnel à ces enjeux. Sans prise en compte du facteur humain, la protection ne pourra être optimale.
La détection des menaces, un enjeu capital :
Cette protection doit être continue afin de pouvoir assurer cette sécurisation permanente du SI. Pour cela, le RSSI doit mettre en œuvre des moyens et activités appropriés pour détecter la survenance de ces évènements de cybersécurité le plus rapidement possible. En effet, le facteur temps est prioritaire dans la gestion d’un incident cyber : plus un incident est détecté à temps, plus la réponse pourra être efficace.
Un RSSI devra donc porter son attention sur des anomalies ou évènements particuliers mis en avant par les solutions de détection. En effet, le RSSI pourra s’appuyer sur des technologies précises permettant d’effectuer un monitoring continu de la sécurité du réseau en détectant tous types de menaces, des plus classiques aux plus avancées.
Un processus complet de détection doit donc être défini afin d’automatiser au maximum cette détection. Dans le cadre de détection d’attaques ciblées de type APT par exemple, disposer d’un outil effectuant ces tâches de détection de l’infrastructure utilisée de manière automatique marquerait une réelle évolution dans la capacité à détecter des menaces ciblées.
La réponse, au cœur de la fonction RSSI :
Au vu du contexte d’attaques persistantes sur des secteurs cibles, un RSSI devra un jour faire face vraisemblablement à un évènement de cybersécurité. Si les étapes prioritaires de l’identification, de la protection et de la détection sont correctement réalisées, les effets seront probablement moindres. L’anticipation est la clé pour s’assurer d’une réponse adaptée en cas de crise. Car un évènement de cybersécurité ne peut se prévoir. Il ne s’agit pas de savoir quand, mais comment y répondre.
Le RSSI joue un rôle clé dans cette réponse et gestion de crise. Chargé de former et maintenir en alerte l’ensemble des collaborateurs concernant le risque cyber, et structurant la chaîne de décision dans ce cas précis (gouvernance), il participe à la mise en place d’une stratégie de gestion de crise à court terme en cas d’incident de cybersécurité, puis de récupération et relance de l’activité de l’entreprise par la suite.
Le RSSI n’est pas uniquement présent dans le cas d’une crise. Il est le pilier sécuritaire d’une organisation, attaché à la cybersécurité à chaque phase : au quotidien, par des mesures d’analyses, d’entretien et de prévention ; durant la crise, par des mesures de gestion de crise ; et post-crise, par des mesures de récupération et de ré-implémentation.
Au-delà de la simple correction des vulnérabilités comme il le faisait dans les années 1990, le RSSI dispose donc d’un rôle nouveau, l’obligeant à prendre en considération des outils toujours plus nombreux, techniques mais également humains, avec au cœur de sa logique : l’identification ; la protection et la détection. La diversification de son rôle tendra à se poursuivre durant les années à venir du fait de l’évolution de l’écosystème cyber et des menaces. Au vu de la transformation de ce dernier, un RSSI devra par exemple garder en tête les préoccupations environnementales croissantes, et les potentielles législations européennes ou internationales allant dans ce sens. Il pourra également rester en alerte sur les nouvelles formes de menaces émergentes notamment liées à l’arrivée du quantique par exemple. En bref, que le RSSI ne soit pas déçu, de nombreux sujets l’attendent !
Faisant ainsi de la cybersécurité un véritable atout pour l’organisation, il participe à son amélioration continue grâce à son travail de longue haleine sur le court, moyen et long terme. Un travail qui est toutefois encore soumis à de fortes contraintes notamment budgétaires et d’autonomie, bien que des évolutions soient en cours dans certains secteurs fortement sensibilisés aux questions de cybersécurité.
Auteur : Benoît Triolo – RSSI de Gatewatcher