De l’importance du management en cybersécurité

 

À la question « Pourquoi manager sa cybersécurité », il serait tentant de répondre «Pourquoi ne pas le faire », tant la réponse sonne comme une évidence. Pourtant, la question d’un véritable management de la cybersécurité se pose bel et bien dans bon nombre d’organisations. Selon une étude publiée en avril 2020 par Forrester à la demande de Tenable, seuls quatre RSSI sur dix affirment connaître leur niveau de sécurité ou de vulnérabilité avec un degré de certitude élevé. Une navigation à vue qui laisse penser qu’il serait peut-être temps de cesser de « faire de la cybersécurité », pour davantage la diriger.

Qu’entend-on par manager sa cybersécurité ?

Traditionnellement, le management se définit comme la mise en œuvre de moyens humains et matériels pour l’atteinte d’objectifs. Si l’efficacité du management se trouve au cœur des préoccupations dans la plupart des métiers de l’entreprise, elle reste trop peu abordée en matière de cybersécurité.

La cybersécurité toujours déconnectée des objectifs de l’entreprise

Comme le fait apparaître la définition du management donnée précédemment, impossible de prétendre manager, c’est-à-dire diriger et contrôler, sans y voir clair sur des objectifs !

Les chiffres du rapport Forrester précité démontrent pourtant que la cybersécurité se conçoit et se pratique souvent sans dimension stratégique. Baptisé « L’ascension des responsables de la sécurité alignés sur les objectifs de l’entreprise » et basé sur les réponses de 416 RSSI dans le monde, ce document dresse les constats suivants.

  • Seuls 54% des RSSI déclarent que leurs stratégies de cybersécurité sont totalement ou étroitement en phase avec les objectifs de l’entreprise.
  • Seuls 47% des responsables de la sécurité tiennent compte des priorités de l’entreprise pour définir les priorités du point de vue de la cybersécurité.
  • Moins de 50% des RSSI considèrent l’impact des menaces dans le contexte d’un risque pour l’entreprise spécifique.

Passer d’une vision tech à une vision plus globale

Qu’observe-t-on dans la façon dont est prise en charge la cybersécurité au sein des organisations ? Les méthodes varient d’une entité à une autre, avec cependant trois tendances :

  • le management par la technologie, consistant à miser sur les outils;
  • le management par la conformité, basé sur le respect d’exigences réglementaires ou contractuelles;
  • le management par le risque, qui relève quasiment du sur-mesure et trouve sa place uniquement dans les entreprises les plus matures

Parmi ces grandes approches, il va sans dire que celle consistant à manager par la technologie revient tout simplement à…ne pas manager ! Si l’utilité de nombreux outils est indéniable, la difficulté tient avant tout au fait qu’en pareille situation, le niveau de sécurité de l’entreprise dépend des éditeurs et des dernières tendances du marché, alors qu’il devrait davantage reposer sur un niveau d’exigence à fixer en fonction d’objectifs clairement définis.

Pour cette raison, manager sa cybersécurité implique d’adopter une vision à 360° des actions à mener. Concrètement, il s’agit de couvrir toutes les fonctions principales du management, de la définition des objectifs au pilotage, en passant par l’organisation du travail, la gestion des équipes et la prise de décision. Cela revient, entre autres, à s’appuyer sur le framework People Process Technology habituellement utilisé pour mener à bien tout changement organisationnel ou implémenter de nouveaux projets SI.

 

Le management de la cybersécurité commence par de la stratégie

Si les chiffres laissent penser qu’un bout de chemin reste à parcourir pour aboutir à ce que chaque RSSI exerce de vraies fonctions managériales, comme peuvent le faire les DAF, DRH ou autres cadres, on assiste malgré tout à l’émergence d’un discours tendant à placer la stratégie au cœur de la cybersécurité.

C’est le sens par exemple des propos tenus par les contributeurs au guide 2021 du guide «L’essentiel de la sécurité numérique pour les dirigeants et les dirigeantes ». Daniel Bénabou, président du CEIDIG, explique ainsi que la sécurité n’est plus technique mais stratégique, en la considérant comme « un sujet de haut management ».

Guillaume Poupard, le Directeur Générale de l’ANSSI, insiste quant à lui sur la nécessité pour les décideurs et RSSI de se montrer proactifs, en affirmant que « la cybersécurité, c’est 99% d’anticipation, de prévention et de bon sens. »

De vraies bonnes raisons de manager sa cybersécurité

Faudrait-il que les RSSI se glissent davantage dans une posture de manager au seul motif que des experts préconisent une approche ambitieuse de la cybersécurité ? En réalité, les raisons de s’engager dans cette voie sont très pragmatiques et offrent un retour sur investissement profitable aussi bien au RSSI qu’à l’entreprise.

Répondre de façon fiable aux besoins de sécurité

Vous l’aurez compris, manager signifie dérouler tout un processus : on définit d’abord une stratégie alignée avec les objectifs de l’entreprise, on identifie les ressources pour la réaliser, on la met en place puis on la pilote pour vérifier l’atteinte des objectifs préalablement définis.

Quoi de mieux pour assurer une protection de l’entreprise vraiment efficace ? Cette approche présente l’intérêt de positionner les bonnes ressources au bon endroit, en dosant les efforts en fonction des priorités. Pour l’organisation, cela limite le décalage qu’il peut y avoir entre « l’impression de sécurité » et la réalité, tel que le présentait déjà Bruce Schneider en 2010 dans sa conférence TEDx sur le mirage de la sécurité. Cela évite ainsi de créer ce qu’il appelle « un théâtre de la sécurité », constitué de produits qui rassurent sans protéger réellement.

Anticiper les problèmes

Sans visibilité et sans structuration de son activité, le RSSI qui ne manage pas vraiment sa cybersécurité ne peut que subir, en redoutant les attaques et en faisant de son mieux lorsque le risque se réalise.

La situation d’un RSSI qui dispose d’une vision claire sur ses objectifs et sur la façon de les atteindre est tout autre ! Face au risque d’une attaque ransomware par exemple, il commencera par cartographier ses actifs informatiques vulnérables et exposés qui constituent autant de portes d’entrée dans le système d’informations.

Cette approche méthodique lui permettra donc de limiter au maximum les risques, mais aussi de co-construire des solutions avec la direction et les métiers pour poursuivre l’activité en cas d’attaque (mise en place d’une solution de communication décorrélée du SI, plan de gestion de crise, plan de reprise informatique etc.)

Donner du sens et fédérer

Sans une vision partagée, les équipes (notamment les équipes SecOps) risquent fort de ne pas percevoir l’intérêt de respecter un certain nombre de bonnes pratiques. Le management de la cybersécurité vient précisément améliorer ce point. Parce qu’il consiste entre autres à partager des objectifs, expliquer et dialoguer, il aboutit à une meilleure compréhension des enjeux par toutes les parties prenantes et par ricochets à une plus grande adhésion et à une protection accrue.

C’est en effet en développant son leadership qu’il devient possible de mettre en place une boucle de rétroaction. En se sentant davantage concernées par les enjeux de cybersécurité, les équipes remontent plus facilement les informations pertinentes et appliquent plus volontiers les bonnes pratiques.

Se donner les moyens d’en faire plus

Vous vous dites que pour manager sa cybersécurité au sens où nous l’entendons, encore faut-il en avoir les moyens ? En réalité, la question du budget n’en est pas une, ou du moins ne devrait l’être qu’au démarrage d’une stratégie de cybersécurité.

Manager la cybersécurité consiste en effet non seulement à se donner les moyens d’avoir de la visibilité, mais aussi à donner de la visibilité au top management. Autrement dit à mettre en évidence deux choses :

– D’une part, les vulnérabilités et les risques associés (pertes d’exploitation, atteinte à l’image de l’entreprise, coûts juridiques etc.)

– D’autre part, les besoins du RSSI pour remplir son obligation de moyen

En d’autres termes, c’est en prenant le sujet de la sécurité à bras le corps et dans toutes ses dimensions que les RSSI se donnent la chance d’avoir des échanges constructifs avec le top management, et par voie de conséquence d’obtenir des budgets, à charge pour eux d’en faire bon usage.

Comment mettre en place ce cercle vertueux ?

Développée par EXCUBE au sein d’une solution Saas, adaptable et collaborative, AugmentedCISO offre aux RSSI une meilleure visibilité grâce à des indicateurs clairs, opérationnels et stratégiques, tout en les déchargeant de tâches chronophages et sans valeur. Conçue pour apporter plus de cohérence, elle permet également un alignement entre les opérations et les objectifs.

0 commentaires

Cyril GUILLET

Cyril GUILLET

Expert Cybersécurité

CEO – Fondateur

 

Share This