Comment le RSSI peut-il être partout ?

Parce que protéger l’entreprise implique de connaître le moindre de ses recoins et liens avec l’extérieur, une politique de sécurité efficace repose sur une cartographie minutieuse des périmètres à couvrir. En pratique cependant, surveiller tous les espaces et agréger les informations s’avère une mission ambitieuse. Les leviers pour y parvenir sont à la fois techniques, organisationnels et humains.

L’organisation, une des clés de voûte de la cybersécurité

La cybersécurité étant transversale, elle nécessite à la fois de contrôler ce qui se passe dans tous les pans de l’activité de l’entreprise, mais aussi d’avoir une vue d’ensemble. Bien choisis, les outils et les process constituent les meilleurs alliés du RSSI

Mettre en place un catalogue de solutions

Sur quels outils le RSSI peut-il compter au quotidien ? Le guide d’hygiène informatique de l’ANSSI fournit sans nul doute un excellent point de départ pour détecter les outils dont se doter pour atteindre un niveau de sécurité « standard », voire « renforcé ».

Sur cette base, le RSSI peut en effet sélectionner les outils les plus pertinents à mettre en place dans chacun des espaces sous sa protection :

  • des outils de scoring (comme SecurityScorecard ou Bit Sight) pour les filiales
  • un outil pour évaluer la maturité des prestataires en termes de gestion de la cybersécurité (comme Cybervadis)
  • du e-learning et des tests auprès des collaborateurs etc.

Quels que soient les outils retenus, la mise en place d’un véritable catalogue de solutions présente l’intérêt d’harmoniser les solutions au sein de l’entreprise. En se présentant comme une « recette » à suivre, elle favorise également l’adhésion de toutes les parties prenantes, en particulier celles dont les intérêts pourraient être antagonistes.

Imaginer des process et miser sur la collaboration

Tout savoir sur tout : voilà un des premiers besoins du RSSI, qui l’oblige constamment à se tenir informé de ce que font les équipes. Cela passe nécessairement par la mise en place de process, tels que la mise à jour de l’annuaire des fournisseurs et l’information en temps réel du RSSI.

Pour autant, la simple information suffit-elle ? La réponse est non ! Pour reprendre le premier des conseils donnés dans l’édition 2021 « L’essentiel de la sécurité numérique pour les dirigeants et les dirigeantes », la sécurité est « bien plus simple et efficace quand elle est mise en place dès la naissance des projets ».

C’est donc au RSSI d’être force de proposition pour intervenir le plus en amont possible, en cherchant à instaurer une collaboration fructueuse avec l’ensemble des services (juridique et RH bien sûr, mais aussi les métiers). À titre d’exemple, le RSSI a toute sa place dans la procédure de sélection des fournisseurs : c’est là la meilleure façon d’écarter les prestataires ne répondant pas aux exigences et de garantir l’atteinte d’un niveau de sécurité homogène sur toute la surface à protéger.

 

L’accompagnement, un levier indispensable pour protéger l’entreprise

Les outils et les process, c’est bien, mais réussir à ce qu’ils soient adoptés, c’est mieux ! La cybersécurité étant l’affaire de tous au sein des organisations, son efficacité dépend plus que jamais des appuis humains dont bénéficie le RSSI. Or, les soutiens et la bonne volonté des collaborateurs se mérite…

Les salariés sont une menace et un potentiel

Sans surprise, chaque collaborateur représente à lui tout seul une porte d’entrée vers le système d’information, avec, en cas de négligence ou d’erreur humaine, des conséquences lourdes pour l’entreprise (blocage de l’activité, atteinte à sa réputation etc.).

Selon un sondage IFOP publié en novembre 2019 à la demande d’IDESCI (« Les salariés et la sécurité des données au travail »), 47% des collaborateurs ont déjà été victimes de phishing. Ils sont par ailleurs 34% à avoir accès, stocker ou partager des documents sensibles ou confidentiels (données comptables, documents nominatifs…).

Dans le même temps, les équipes manifestent leur inquiétude sur le sujet de la cybersécurité et leur besoin d’accompagnement. Le sondage révèle ainsi que 25% des salariés n’utilisent pas certains outils informatiques par crainte de problèmes de sécurité ou de confidentialité. 86% des salariés estiment par ailleurs qu’une gestion de la sécurité des données professionnelles à l’échelle individuelle permettrait de limiter les risques de piratage de l’entreprise.

Les solutions pour insuffler une culture de la cybersécurité

Si le RSSI ne peut pas être partout, il peut cependant créer des points de contact avec les collaborateurs, de façon à les inciter à jouer un rôle dans la protection de l’organisation. Pour un premier pas, pourquoi ne pas commencer par la création d’un security desk, auquel chaque salarié pourrait remonter des informations suspectes ou obtenir des réponses à ses questions ?

Au-delà de la sensibilisation, les collaborateurs ont en effet besoin de moyens et d’outils, ceux-ci devant être intuitifs, faciles à prendre en main et à utiliser. S’agissant des tentatives de hameçonnage par exemple, une solution toute simple et efficace consiste à intégrer un plug-in sur les boîtes mails pour que chacun puisse signaler immédiatement le moindre mail suspect.

 

AugmentedCISO, la première solution pour une vision à 360°

Conçue par des RSSI pour des RSSI, AugmentedCISO est une solution Saas, adaptable et collaborative pour piloter la cybersécurité. Constitution de tableaux de bord, collecte de données, pilotage de la conformité et des plans d’actions, suivi du programme de sécurité ou encore réalisation d’évaluations…AugmentedCISO offre enfin au RSSI une vue à 360° sur la cybersécurité.

0 commentaires

Cyril GUILLET

Cyril GUILLET

Expert Cybersécurité

CEO – Fondateur

 

Share This