Jenny Radcliffe de Human Factor Security s'est récemment entretenue avec Lucia Milică Stacy, Vice President et Global Resident Chief Information Security Officer (CISO) de Proofpoint, pour discuter de l'état actuel du secteur de la cybersécurité. Elles ont abordé tous les sujets, des attaques de grande envergure et de la pénurie de compétences en cybersécurité à l'évolution des rôles et à la diversité.
Voici certaines des observations de Lucia Milică Stacy :
L'évolution du rôle des RSSI
Je suis très heureuse que mon poste me permette de m'asseoir de l'autre côté de la table et de parler avec mes pairs des difficultés qu'ils rencontrent au quotidien. Chaque individu est confronté à des défis spécifiques, mais lors de la compilation du rapport Voice of the CISO 2022, un point est revenu à plusieurs reprises. Face à la pandémie de COVID-19, aux cyberattaques de grande envergure contre des entreprises renommées et des infrastructures critiques ainsi qu'à l'essor du travail hybride, il est évident que le rôle des RSSI évolue.
Ces événements, et d'autres, soulignent l'importance de notre poste et le rôle déterminant qu'il joue dans la réussite de nos entreprises. Auparavant considérée comme un problème informatique, la fonction de RSSI est aujourd'hui essentielle. Les conseils d'administration ont enfin compris que les risques de cybersécurité mettaient les entreprises en péril.
Les RSSI ne s'entendent pas avec leur conseil d'administration
La difficulté à s'entendre avec le conseil d'administration est un autre point commun entre les RSSI. Résultat : il existe souvent un décalage entre la sensibilisation à la sécurité et le niveau de préparation à l'échelle de l'entreprise. Au bout du compte, ce décalage complique la communication des risques de cybersécurité. Mais comme toujours, il y a deux côtés de la médaille.
Si les conseils d'administration veulent indéniablement comprendre les risques pesant sur leur entreprise, un manque de compétences techniques et en cybersécurité subsiste à ce niveau. Nous devons donc continuer à insister sur l'importance de la supervision et des connaissances en cybersécurité auprès du conseil d'administration. Cette approche a été adoptée dans des pays tels que l'Australie, où une expertise en cybersécurité au sein du conseil d'administration est devenue une exigence courante. Aux États-Unis, la SEC (Securities and Exchange Commission) a également proposé des règles de cybersécurité, qui devraient être finalisées en avril 2023.
Mais les professionnels de la cybersécurité ont également un rôle à jouer. Nous devons être capables de dresser un tableau exhaustif des risques encourus et de leurs conséquences. Pour cela, nous devons éviter d'employer un jargon technique. Plutôt que de nous appuyer sur des mesures et des indicateurs clés de performance, nous devons lier plus étroitement les risques de cybersécurité à notre argumentaire.
Pallier la pénurie de compétences, dissiper les mythes et promouvoir la diversité
Notre secteur reste confronté à une pénurie importante de compétences, qui ne va faire que s'aggraver au fil des départs à la retraite des responsables plus âgés.
Même si aucun poste spécifique n'existait au moment où ces travailleurs chevronnés ont commencé leur carrière, la cybersécurité était au cœur de tout ce que nous faisions. Par conséquent, lorsque le poste de RSSI et d'autres rôles associés ont été créés il y a quelques années, certains de ces collaborateurs pouvaient aisément endosser ce rôle. Maintenant que la cybersécurité fait l'objet d'une attention accrue, nous recrutons des talents directement à des postes de cybersécurité de niveau débutant. Toutefois, des lacunes persistent au niveau intermédiaire, où nous manquons de responsables de sécurité chevronnés prêts à endosser des postes de direction.
En outre, le problème de diversité n'épargne pas la nouvelle génération. On me dit souvent que je n'ai pas l'air de travailler dans la cybersécurité, sûrement parce que je ne suis pas un jeune homme portant des baskets et un sweat à capuche.
Nous devons résoudre ce problème d'image et créer de meilleures conditions pour les jeunes, quels que soient leur genre, leur origine ethnique et leur milieu. Pour de nombreuses entreprises, cela nécessitera probablement de repenser complètement les programmes de diversité et d'inclusion pour attirer les meilleurs talents, quels qu'ils soient.
Vous souhaitez en savoir plus ?
Écoutez le podcast CISO Voices pour retrouver l'intégralité de la conversation entre Jenny Radcliffe et Lucia Milică Stacy, ainsi qu'accéder à d'autres épisodes.
Les podcasts Human Factor Security de Jenny Radcliffe mettent en avant l'expérience d'autres experts en cybersécurité. Dans notre prochain article de blog CISO Voices, nous découvrirons le point de vue de Kate Mullin.
Portail dédié aux RSSI de Proofpoint
Visitez notre Portail dédié aux RSSI pour accéder à des recherches, des informations et des ressources de cybersécurité régulièrement mises à jour et destinées à la communauté mondiale des RSSI.