Responsable de la sécurité de l’information ou de la résilience de l’entreprise?

Depuis 15 ans, j’ai vu changer mon métier. ​Il y a 15 ans, pas de ransomware, pas de télétravail. ​

​Le mot « cybersécurité » n’était pas à la mode et la résilience, pas dans mon vocabulaire.​

​Aujourd’hui, ​le besoin a changé, ​mon métier a changé.

Dix-huit ans d’expérience. Mon métier a changé, ou j’ai changé mon métier. ​

Suis-je toujours RSSI, responsable de la sécurité des systèmes d’information chargé de la cybersécurité? Ou un service de soutien au bon fonctionnement de l’entreprise?​

La sauvegarde? Ce n’est pas de la cyber! ​

C’est ce qu’on disait il y a 15 ans entre collègues ingénieurs en sécurité informatique, à une époque où le mot « cyber » n’était pas encore à la mode. Et bien que nous reconnaissions l’intérêt de la maîtrise de la sauvegarde par la sécurité, en pratique, il y avait peu d’échanges avec l’équipe responsable des sauvegardes, qui travaillait de manière autonome pour des besoins fonctionnels ou normatifs.​

Alors pourquoi aujourd’hui la première mission que j’ai en tête quand je suis responsable de la sécurité, c’est la sauvegarde, la résilience, la survie de l’entreprise?​

Ce sont d’ailleurs mes premières questions quand je rencontre un responsable de PME : « Avez-vous des sauvegardes? », puis « Avez-vous testé les procédures de restauration? », bien que je reste souvent sceptique quant à la véracité des réponses obtenues.​

Le ransomware qui change la donne​

Cette bascule pour moi s’est faite avec l’ingénieuse invention du ransomware. ​

Je me souviens de l’admiration profonde que j’ai eue pour le petit génie qui a un jour mis en place l’extorsion à la donnée informatisée… T’empêcher d’utiliser TES données et te demander de l’argent pour récupérer ce qui est déjà à toi.​

Mais surtout, le ransomware, c’était la garantie que, quand il était exécuté, on avait perdu. Pas de retour en arrière sans rançon… ou sauvegardes!​

Notre travail quotidien de renforcement de la sécurité ne servait plus à rien si la – forcément toujours présente – dernière petite faille était exploitée par un bon ransomware… ​

L’indisponibilité au centre, on découvre la dépendance​

À se rendre compte des impacts d’un ransomware, on concentre notre travail sur les risques de perte de disponibilité de l’information, ou de perte complète. Et nous voilà à nous rendre compte de la dépendance au numérique. ​

Et de la dépendance du numérique à beaucoup d’autres choses…​

Le métier reprend un virage quand, au lieu de lutter contre « les méchants hackeurs russes ou chinois » avec plein de technologies cyber, on se voit lutter contre un risque d’intrusion de force 9 parce que la porte de secours ne ferme plus…​

Mais quelles sont les limites du périmètre du RSSI?​

Il y a 10 ans, un collègue RSSI d’une banque française me disait : ​

« Je suis RSSI, pas CISO; c’est-à-dire chargé de la sécurité du système d’information, pas de l’information. Je suis responsable de ton document, là, dans ta boîte mail, mais, si tu l’imprimes, alors je considère que ce n’est plus mon problème… ».​

L’évidence est là, on ne peut pas mettre sous le tapis une partie du système sous prétexte que l’on considère que ce n’est plus numérique ou que c’est la responsabilité de quelqu’un d’autre. Le bâtiment et ses accès physiques, le télétravail, la téléphonie, la formation, le papier, la vieille application métier, etc. : les risques doivent être connus et mesurés, et quand ils sont délégués, cette délégation doit être maîtrisée.​

​Compréhension transversale ​

En cherchant à protéger l’entreprise, en prenant du recul et en comprenant la dépendance au numérique, la posture holistique s’impose, plaçant la résilience au centre de la stratégie. ​

Cette réalité numérique transforme la survie de l’entreprise en un enjeu stratégique majeur. Face à cette mutation, mon rôle en tant que RSSI a dû évoluer significativement.​

Ainsi, comprendre en profondeur les enjeux stratégiques de l’entreprise et interagir avec le conseil d’administration sont devenus des composantes essentielles de mes responsabilités. Il est impératif que je m’assure que la direction comprend les risques et les menaces, non seulement pour garantir la conformité aux normes et aux réglementations, mais aussi pour préserver la pérennité et le développement de l’entreprise.​

(Re)cadrage en cours​

C’est d’ailleurs ce que proposent les référentiels – ô guides supposés du bien-faire – comme NIS2, ISO 27001 ou le règlement DORA, qui exigent l’engagement formel de la direction de l’entreprise, une cartographie de ses risques et le management ferme de ses prestataires de services critiques.​

Et en prenant une approche de gestion de la sécurité plutôt que des référentiels techniques, ces normes démontrent l’importance d’une gouvernance holistique bien au-delà des aspects techniques.​

Me voilà responsable que tout fonctionne tout le temps?​

Quelle douce illusion, flattant mon ego, que de croire que l’entreprise tient bon grâce à moi. Quelle belle cape je feins d’endosser, bien qu’elle me semble un peu moins reluisante que celle du « policier des ordinateurs » quand je l’explique à ma fille de 6 ans.​

J’ai hâte de voir ces prochaines années comment le métier changera encore; l’IA, le cloud à outrance, les normes, les guerres cyber… De quoi repenser les besoins de nos chères entreprises, qui vont naturellement transformer nos missions.​

​

Le métier évolue. Je constate aujourd’hui que de nombreux jeunes aspirent à devenir « des hackeurs éthiques », experts techniques. Cependant, une partie significative des besoins réels se concentre sur l’accompagnement à la croissance de l’entreprise.​

Ce fut le cas pour les directions des systèmes d’information (DSI), qui sont passées de simples « offreurs techniques » à partenaires et à accélérateurs du métier. La cyber connaîtra sa transformation.​

À présent, la question se pose pour vous : considérez-vous les services d’un garagiste comme de simples prestations de maintenance, pour la vidange ou le montage de pneus, ou comme l’expertise d’un professionnel qui veille à la santé de votre véhicule pour garantir sa longévité et votre sécurité? ​

Article rédigé par Maxime Gryl​

Maxime Gryl​, expert cyber depuis plus de 18 ans. Après le secteur bancaire, la santé et l’infogérance TI, je suis devenu expert freelance pour mieux travailler avec les entreprises en quête de sérénité et d’organisation de leur cybersérénité. ​

Pour en savoir plus : https://www.linkedin.com/in/maximegr/​

COMPLÉMENT : POSEZ-VOUS LES BONNES QUESTIONS SUR LA PLACE DE VOTRE (R)SSI?

Voici des pistes de réflexion pour challenger la place de la cyber et de votre RSSI dans votre stratégie. N’hésitez pas à titiller votre responsable : un RSSI est expert en gestion du risque, et le premier à se protéger! (Ou non, le deuxième après le juriste.)​

Côté business :​

• Quels marchés nouveaux pourrions-nous atteindre avec un niveau de sécurité ou avec une certification supplémentaire?​
  

• Être meilleur en cyber et le montrer nous donnerait-il un avantage par rapport à nos concurrents?​
  

• La conformité a tendance à être conservatrice; si tu avais des objectifs de croissance pour l’entreprise, quels risques serais-tu prêt à concéder?​

Côté niveau de sécurité : ​

• Quelles sont les trois principales préoccupations en matière de sécurité que tu ne communiques pas toujours en réunion?​
  

• Y a-t-il un sujet que tu n’abordes que pour tenir tes objectifs, mais qui mériterait d’être revu pour être en cohérence avec le reste?​
  

• Pour une sécurité à 5 ou 10 ans, nous sommes dans le bon sens ou nous creusons le gap?​

Côté organisation : ​

• Avec quelles équipes t’entends-tu le moins ou te sens-tu en concurrence? Comment faire pour vous réaligner sur les objectifs de l’entreprise, moins vous ralentir et accélérer dans le bon sens?​
  

• Avec quelles équipes pourrions-nous rationaliser les coûts cyber? La production pour les machines, la qualité pour les processus, le management pour la sensibilisation?​
  

• Sûreté, résilience, sécurité… des mondes qui se rapprochent mais qui ne se parlent pas toujours. Si tu étais responsable de l’ensemble de ces sujets, quel domaine te semblerait le moins maîtrisé?​

Pour le pousser dans ses derniers retranchements : ​

• Si demain nous avions une proposition de rachat de l’entreprise, le diagnostic cyber des investisseurs serait-il une aide ou un frein à la vente?​
  

• Gérer la conformité et gérer une crise, ce n’est pas pareil. En cas de crise, peux-tu la gérer ou il est judicieux de se préparer autrement?​
  

• S’il y a une attaque ou une malveillance demain, saurais-tu témoigner devant un tribunal pour dire que tout était fait comme cela devait être?​