CISO Voices : l'évolution du rôle des RSSI — Partie 3
Avez-vous déjà eu envie d'écouter les confessions d'un responsable de la sécurité des systèmes d'information (RSSI) ? Grâce à Jenny Radcliffe et à la série de podcasts CISO Voices, c'est désormais possible. Jenny Radcliffe s'est récemment entretenue avec Todd Wade, consultant RSSI, pour aborder la confusion qui entoure le rôle du RSSI, parmi d'autres sujets.
Voici un résumé des principaux points évoqués par Todd Wade pendant leur conversation.
La difficulté du RSSI à trouver sa place
Étant amené à travailler au sein de nombreuses entreprises, je constate un défi similaire en ce qui concerne le rôle du RSSI. Dans certaines entreprises, il s'agit d'un responsable technique de la sécurité, qui supervise la sécurité des informations, mais ce que cela implique n'est pas très clair. De manière générale, bon nombre d'entreprises ne savent pas exactement quelles devraient être les fonctions d'un RSSI ni sous la responsabilité de qui il devrait être.
Ce décalage peut provoquer un problème de gouvernance. Si le RSSI n'a pas le pouvoir de prendre des décisions concernant les risques, celles-ci sont à la discrétion du directeur technique ou d'une personne occupant une fonction similaire. Bien entendu, il existe de formidables directeurs techniques, mais ce n'est pas la question. Le RSSI et le directeur technique doivent travailler main dans la main et non entretenir une relation hiérarchique.
Les États-Unis évoluent aujourd'hui vers un modèle où une expertise en cybersécurité est devenue indispensable au sein du conseil d'administration. D'autres pays devraient prendre le même chemin. Certaines entreprises ont tiré des enseignements de leurs erreurs passées et ne placent plus leur RSSI sous la responsabilité du directeur technique ou d'une personne occupant une fonction similaire. Le conseil d'administration souhaite désormais s'entretenir directement avec le responsable de la sécurité des informations, ce qui constitue selon moi un changement important.
L'importance de la cybersécurité personnelle
Les RSSI et les équipes de cybersécurité doivent prendre soin d'employer les bons termes lorsqu'ils communiquent leur message, que ce soit au conseil d'administration ou à leurs collègues. Une défense bien orchestrée exige l'implication de l'entreprise tout entière, et pas seulement de l'équipe de sécurité. Nous devons donc nouer des relations.
Une solution à cette fin consiste à impliquer personnellement les collaborateurs. Ces derniers sont plus susceptibles d'avoir un déclic s'ils comprennent comment une attaque ou une compromission les affecte. Malheureusement, je connais au moins un cadre dirigeant qui n'accordait aucune attention à la sécurité d'entreprise et qui aurait cliqué sur n'importe quel lien sans y réfléchir à deux fois… jusqu'à ce qu'un clic entraîne la compromission de ses comptes financiers personnels.
En plus de transmettre notre message, nous devons donc montrer aux utilisateurs que de bonnes habitudes en matière de sécurité peuvent les protéger eux et leur employeur. Lorsque vous apprenez aux utilisateurs à améliorer leur niveau de cyberprotection et celui de leur famille, ils se sentent davantage concernés et adoptent ces mêmes habitudes sur leur lieu de travail.
L'essor continu des ransomwares
Tout le monde a déjà entendu parler des ransomwares. Peu importe que l'on travaille dans le secteur ou non, nous comprenons tous ce concept. Il s'agit en réalité d'une technique d'extorsion.
L'objectif des cybercriminels est de poursuivre cette extorsion le plus longtemps possible. Pour ce faire, ils utilisent les émotions humaines à leur avantage, en profitant par exemple de la pandémie de COVID-19 ou de la guerre en Ukraine. Ces individus n'éprouvent aucune honte, ce qui explique en partie leur succès. Et la plupart du temps, leurs attaques sont fructueuses.
Tenir ces menaces à l'écart est à la fois difficile et coûteux. C'est pourquoi toutes les entreprises doivent partir du principe qu'elles seront victimes d'une attaque de ransomwares. La question qui se pose alors est : quel est votre degré de résilience, et de combien de temps avez-vous besoin pour reprendre vos activités ?
Vous souhaitez en savoir plus ?
Écoutez le podcast CISO Voices pour retrouver l'intégralité de la conversation entre Jenny Radcliffe et Todd Wade, ainsi que pour accéder à d'autres épisodes.
Les podcasts Human Factor Security de Jenny Radcliffe mettent en avant l'expérience d'autres experts en cybersécurité. Dans notre prochain article de blog CISO Voices, nous découvrirons le point de vue de Daniela Almeida, RSSI de Tinka, une entreprise néerlandaise de technologie financière.
Portail dédié aux RSSI de Proofpoint
Visitez notre Portail dédié aux RSSI pour accéder à des recherches, des informations et des ressources de cybersécurité mises à jour régulièrement et destinées à la communauté mondiale des RSSI.
Centre de ressources sur la neutralisation des ransomwares de Proofpoint
Assurez-vous également de consulter le Centre de ressources sur la neutralisation des ransomwares de Proofpoint pour en savoir plus sur cette menace et découvrir comment Proofpoint aide les entreprises à s'en protéger.