Pendant longtemps, la principale compétence dont les RSSI avaient besoin était la capacité et la volonté de démissionner en douceur à la suite d’un incident majeur de cybersécurité. Blague à part, les premiers RSSI avaient tendance à avoir des mandats de courte durée en raison de la régularité pénible avec laquelle les systèmes étaient compromis sous leur surveillance. La responsabilité revenait à eux – et souvent à leur travail aussi.
Ce paradigme a changé ces dernières années grâce aux tendances convergentes suivantes :
Le nombre d’organisations victimes de violations continue de croître rapidement et comprend des entreprises de tous types : grandes entreprises, petites startups, gouvernements et organisations à but non lucratif. En conséquence, la stigmatisation est moindre.
Les organisations, grandes et petites, dépendent désormais d’une prestation de services informatiques et d’environnements de données hybrides de plus en plus complexes, ce qui entraîne de nouveaux défis de sécurité en constante évolution.
Les conséquences financières des violations continuent de s’alourdir, ce qui incite les dirigeants d’entreprise à s’intéresser davantage à les prévenir et à les atténuer plutôt qu’à simplement trouver quelqu’un à blâmer.
La menace financière, opérationnelle et même existentielle des ransomwares a augmenté à mesure que le nombre d’attaquants et la sophistication des attaques continuent de croître.
En tant que RSSI, la responsabilité de protéger les systèmes et les données d’une organisation est, en effet, la responsabilité de protéger la capacité de l’entreprise à fonctionner et même à continuer d’exister. En conséquence, le reste de la haute direction et le conseil d’administration sont plus que jamais prêts à entendre – et à vraiment écouter.au RSSI.
Le fer est chaud, et si les responsables de la sécurité veulent avoir les meilleures chances de guider leurs organisations en toute sécurité dans des périodes de plus en plus dangereuses, ils doivent alors frapper. Dans le passé, les RSSI se concentraient principalement sur l’identification et l’atténuation des menaces pesant sur les ressources informatiques. Toutefois, pour faire face à la situation actuelle, les RSSI ont besoin d’une perspective plus large et d’un ensemble approprié de compétences techniques, de leadership et commerciales, ainsi que d’un état d’esprit centré sur le risque et la récompense.
En tant que RSSI, la responsabilité de protéger les systèmes et les données d’une organisation est, en effet, la responsabilité de protéger la capacité de l’entreprise à fonctionner et même à continuer d’exister.
Compétences techniques clés pour les RSSI
Bon nombre des RSSI les plus performants d’aujourd’hui se positionnent comme des chefs d’entreprise plutôt que comme des leaders technologiques. Cela dit, l’atténuation des risques liés à la cybersécurité – la responsabilité fondamentale du RSSI – nécessite toujours des compétences techniques approfondies.
Un RSSI doit être capable d’effectuer les tâches suivantes :
Comprenez les capacités de toutes les principales catégories de technologies de sécurité, allant des pare-feu de nouvelle génération aux services de périphérie de service d’accès sécurisé à fournisseur unique.
Comprenez les capacités de sécurité de tous les systèmes d’exploitation modernes, des plates-formes d’hyperviseur et de conteneurisation et des environnements cloud.
Comprendre que toutes les parties de l’environnement peuvent et doivent appliquer des politiques de cybersécurité pertinentes, y compris les appareils mobiles ; réseaux; serveurs, stockage et applications de centres de données sur site ; Ressources et instances IaaS ; et les plateformes PaaS et SaaS.
Construisez ou aidez à construire une architecture globale de cybersécurité, centrée sur la confiance zéro comme concept organisateur.
Compétences commerciales clés pour les RSSI
Lorsque les dirigeants considèrent que les cybermenaces mettent en danger les systèmes informatiques – plutôt que l’entreprise -, ils considèrent la cybersécurité comme un problème qui appartient à quelqu’un d’autre et qui ne mérite pas une attention de haut niveau. Pour contrer l’idée fausse selon laquelle la cybersécurité est un problème informatique plutôt qu’un problème commercial, un RSSI doit être capable de faire ce qui suit :
Comprendre comment fonctionne l’organisation et ce qu’elle fait : quelle est l’activité, comment le travail est-il effectué et par qui ?
Convainquez les parties prenantes d’inclure la cybersécurité dès le début de toute planification commerciale.
Faites de la cybersécurité un catalyseur stratégique et un argument de vente, plutôt qu’une réflexion ou un obstacle après coup.
Comprenez tous les points où les opérations sont vulnérables aux cyberattaques.
Présenter les risques de cybersécurité en termes de risque pour l’entreprise.
Quantifiez les impacts potentiels ou réels des attaques en termes commerciaux, tels que leurs effets sur les revenus et les coûts.
Définir les impacts potentiels ou réels des cyberattaques en termes de capacité de l’organisation à atteindre ses objectifs commerciaux et ses objectifs financiers.
Remarque : Il est tentant d’ajouter les atteintes à la réputation à la liste des impacts commerciaux des cyberattaques, mais à vrai dire, la plupart des organisations n’ont pas subi de retombées significatives, voire durables, sur leur réputation suite à une violation. Cela est probablement dû au simple fait qu’un si grand nombre d’entreprises ont été attaquées avec succès.
Compétences clés en leadership pour les RSSI
Dans une organisation moderne, tout le monde a un rôle à jouer en matière de cybersécurité, de l’administrateur de la réception qui sait ne pas divulguer son mot de passe à la gentille personne « qui appelle de Microsoft », en passant par le membre du conseil d’administration qui comprend que la cybersécurité n’est pas une case à cocher d’audit mais une nécessité opérationnelle et stratégique. La responsabilité du RSSI est de guider chacun dans cet effort et de l’aider à bien jouer son rôle. Cela signifie cultiver les compétences de leadership suivantes :
La capacité de communiquer de manière claire et convaincante avec le personnel technique pour organiser les principales défenses de cybersécurité autour d’une architecture unifiée.
La capacité de communiquer clairement et efficacement avec le personnel non technique sur les moyens par lesquels ils peuvent atténuer les risques pour l’entreprise. Cela inclut d’expliquer pourquoi certaines choses que les utilisateurs souhaitent faire peuvent ne pas être faciles, voire possibles — pensez : utiliser des chatbots IA accessibles au public à des fins professionnelles — en raison de la nécessité de protéger l’organisation.
La capacité de communiquer clairement avec le conseil d’administration et les autres dirigeants de l’entreprise pour expliquer pourquoi il est nécessaire d’investir continuellement dans les services, les outils et les équipes de cybersécurité comme stratégie pour atténuer les risques opérationnels et financiers.
Une compréhension de la manière d’élever le niveau de sensibilisation à la cybersécurité dans toute l’organisation, avec un accent particulier sur la formation des utilisateurs à reconnaître et à éviter les attaques d’ingénierie sociale.
Enfin, quelque chose qui a toujours été vrai : aucun RSSI ne devrait considérer la cybersécurité comme un simple ensemble de vulnérabilités et de défenses. Les responsables efficaces de la cybersécurité comprennent chaque vulnérabilité dans le contexte du risque qu’elle représente pour l’entreprise, c’est-à-dire l’ampleur du préjudice qu’elle pourrait causer et la probabilité qu’elle se produise.
Par exemple, un RSSI peut mettre les vulnérabilités à faible risque de côté afin de donner la priorité aux expositions susceptibles d’entraîner des violations dangereuses et coûteuses. Comprendre les risques et laisser ces connaissances guider les décisions, de la budgétisation et de la planification aux priorités quotidiennes, donne à l’ensemble de l’organisation de cybersécurité un objectif et une perspective unifiés.
John Burke est CTO et analyste de recherche chez Nemertes Research. Burke a rejoint Nemertes en 2005 avec près de deux décennies d’expérience technologique. Il a travaillé à tous les niveaux de l’informatique, notamment en tant que spécialiste du support utilisateur final, programmeur, administrateur système, spécialiste des bases de données, administrateur réseau, architecte réseau et architecte système.
