CISO Voices : L'évolution du rôle des RSSI — Partie 6
Rares sont les secteurs à l'abri des cybercriminels, mais force est de constater que certains sont plus ciblés par les menaces que d'autres.
En tant que responsable de la sécurité dans le secteur juridique, Christian Toon a assisté à son lot de cyberattaques, certaines fructueuses, d'autres non. Lors de sa récente entrevue avec Jenny Radcliffe pour le podcast Human Factor Security, Christian Toon a évoqué son expérience, la pénurie de compétences en sécurité et bien d'autres sujets.
Voici un résumé de leur conversation.
Focus sur le secteur juridique
Au cours des 12 à 18 derniers mois, nous avons observé une augmentation manifeste des attaques ciblant les secteurs juridique et des services professionnels.
À de nombreuses reprises, les cybercriminels ont lancé des attaques de spear phishing (harponnage) contre des cabinets d'avocats, par exemple. Dès lors, même si cette hausse semble généralisée, les attaques ciblent des entreprises et des individus spécifiques.
Les emails de phishing restent un problème de taille. Dans un secteur où du contenu est constamment partagé par email, les messages malveillants bien écrits sont difficiles à déceler.
Le problème des technologies de protection contre le phishing est qu'elles ont leurs limites. Or l'email est un moyen de communication universel et il est fréquent que les entreprises doivent cliquer sur des liens et partager des documents en pièce jointe.
L'évolution du rôle des RSSI
Le rôle des responsables de la sécurité des systèmes d'information (RSSI) a beaucoup évolué en ce qui concerne les responsabilités associées et l'attention qui lui est accordée dans les environnements d'entreprise. Nous sommes désormais considérés comme la personne-ressource à qui s'adresser pour obtenir une assistance et des conseils sur les risques pesant sur une entreprise.
Les conseils d'administration prennent aujourd'hui conscience que si la cybersécurité ne fait pas partie de leurs principaux facteurs de risque, elle le devrait. Rares sont les autres domaines où une entreprise peut être mise au tapis en 60 minutes ou moins. À l'exception des séismes et autres catastrophes naturelles, rien n'a le pouvoir de perturber à ce point une entreprise.
Même si l'ampleur et les responsabilités du rôle des RSSI se sont étendues, nous ne devons pas pour autant l'endosser seuls. La sécurité des informations est un travail d'équipe. Tous les collaborateurs doivent y mettre du leur, quels que soient le département auquel ils appartiennent et leur échelon dans la hiérarchie de l'entreprise.
Pour ce faire, nous devons éliminer certaines des barrières que nous avons érigées nous-mêmes, comme les termes à la mode dans le secteur de la sécurité des informations. Nous devons également comprendre que les gens n'ont que faire de certains concepts comme le Zero Trust. La plupart ne le comprennent pas dans la pratique. Nous devons donc traduire ce type de langage et faire le lien avec les rôles quotidiens des collaborateurs.
La pénurie de compétences est-elle une question d'attitude ?
Notre secteur fait face à une pénurie de compétences depuis un certain temps déjà. Mais je pense qu'il s'agit en partie d'une question d'attitude. Les employeurs recherchent toujours des candidats en ayant une idée préconçue de ce à quoi ressemble un professionnel de la sécurité.
De nombreuses entreprises attendent toujours des collaborateurs qu'ils se satisfassent d'un costume, d'une chemise, d'une cravate, d'un environnement de bureau formel, d'une structure de carrière rigide et de peu d'évolution. Ces individus sont de plus en plus rares. D'autre part, certains arrivent sur le marché du travail avec des attentes peut-être trop élevées en ce qui concerne les rôles qu'ils sont capables d'endosser. Ce décalage complique la gestion des attentes.
Nous devons prendre du recul et déterminer ce qui rend un emploi attirant aux yeux des collaborateurs d'aujourd'hui. Notre secteur ne fait pas partie de ceux qui paient le mieux. Dans ce cas, comment rendre notre rôle séduisant aux yeux des recrues éventuelles ?
Certaines initiatives gouvernementales ont vu le jour pour changer ces perceptions et attirer des profils plus jeunes et mieux préparés. Mais il reste encore beaucoup de travail.
En attendant, je pense que nous allons assister à une hausse marquée de l'externalisation, étant donné que les entreprises peinent à obtenir les ressources dont elles ont besoin en interne. Et plus elles passent de temps sans ces ressources humaines, plus elles sont exposées et plus la situation va s'aggraver.
Vous souhaitez en savoir plus ?
Écoutez le podcast CISO Voices pour retrouver l'intégralité de la conversation entre Jenny Radcliffe et Christian Toon, ainsi que pour accéder aux épisodes précédents. Les podcasts Human Factor Security de Jenny Radcliffe mettent en avant l'expérience d'autres experts en cybersécurité.
Vous pouvez également télécharger le rapport Voice of the CISO 2023 pour découvrir comment notre secteur s'adapte à l'après-pandémie et le rôle des collaborateurs dans l'exposition de leur entreprise à des risques.