Avis d’expert de Patrick DUBOIS, co-directeur Projetlys – groupe Blue Soft
En cybersécurité, solutions techniques et sensibilisation des utilisateurs tirent à eux la couverture. Mais au sein d’une entreprise, ces paramètres se situent aux extrémités d’une organisation qui n’a, pour l’heure, pas suffisamment muté pour être efficace. Voici les 3 erreurs courantes auxquelles remédier pour enfin s’affirmer entreprise en voie de résilience numérique.
Maintenir un RSSI à temps partiel
Bien que les nombreuses publications sur le sujet puissent faire croire le contraire, le véritable intérêt des entreprises et des structures publiques pour une sécurité accrue de leurs systèmes est relativement récent. Les années précédentes ont évidemment monopolisé les équipes à la gestion des urgences, ne leur laissant que peu de temps pour organiser leurs démarches d’achat vers des prestations d’accompagnement ou leur processus de recrutement. Le contexte géopolitique et les difficultés d’embauche accélèrent le rythme des consultations aujourd’hui.
Il y a donc bien conscience aiguë du risque cyber, particulièrement prégnante dans le secteur public. Du côté du privé, la validation du lien sécurité / croissance fait aussi son chemin.
Cela dit, les approches sont appliquées à des degrés extrêmement divers et font apparaître la persistance d’un déficit de culture sécurité au plus haut niveau des instances, contribuant à maintenir une organisation inadaptée aux enjeux.
Ce n’est plus un secret, les responsables sécurité des systèmes d’information sont aujourd’hui dépassés par la charge de travail et paralysés par un sous-investissement chronique. Le maintien de la mutualisation des fonctions participe largement à l’engorgement, quand le DSI n’est pas tout bonnement l’homme-orchestre cumulant la charge de la relation avec les métiers, la gestion de l’infrastructure et la cybersécurité de l’entreprise.
La résilience numérique que la Commission européenne appelle de ses vœux commence en entreprise par la création d’un poste de Directeur de la Sécurité du Système d’Information, indépendant de la DSI, rattaché à la Direction générale, membre du COMEX et disposant d’un budget émancipé de l’arbitrage des projections commerciales.
C’est à ce prix que l’entreprise peut entamer sa conversion vers une cybersécurité digne de ce nom, capable de s’adapter, quel que soit le contexte.
Oublier les relais, créer des ruptures
La pénurie de profils techniques est à ce titre le contexte le plus limitant pour les organisations, qui se tournent alors vers des prestataires pour renforcer les compétences internes. Il y a des avantages à s’adresser à l’externe, notamment pour acquérir, auprès de plus grand que soi, le savoir-faire en gouvernance et sensibilisation.
Mais en l’absence de véritable reconnaissance du poste de RSSI (ou mieux, de DSSI) et de sa formalisation, l’entreprise ne capitalisera jamais sur cette expertise tierce. Les partenaires technologiques peuvent apporter beaucoup, dans une relation souvent très imbriquée, à la fois stratégique et opérationnelle. Toutefois, sans organiser ni continuité ni appropriation, quel bénéfice à long terme l’entreprise en retire-t-elle ?
La culture de la sécurité a pour but de renforcer l’autonomie de l’entreprise dans ce domaine et passe par la transmission des savoirs. L’absence de relais enchaîne les organisations à un statut peu enviable de consommatrices non apprenantes.
Le DSSI au contraire est la pierre angulaire d’une organisation qu’il reste encore à mettre en place. C’est une toile sécurité qu’il s’agit de tisser, en prenant appui sur de nouveaux relais, installés à tous les niveaux de l’entreprise. Sorte de médecin généraliste, le DSSI distribue à l’interlocuteur adéquat (bases de données, applications métier, poste de travail, réseau, stockage, etc.) les mesures de contrôles et les tâches de remédiation qui lui incombent et pour lesquelles il est un expert. Désigner ces futurs interlocuteurs, organiser les formations utiles, promouvoir en interne, sont quelques leviers à actionner vers cet objectif d’autonomie et de résilience en cybersécurité.
Le challenge aujourd’hui est donc bien organisationnel et budgétaire et illustre le réveil d’un sponsorship essentiel de la Direction générale.
S’offrir une orgie de solutions de sécurité
Parler d’une offre étoffée de solutions de sécurité serait un joli euphémisme. D’ailleurs, la plupart des entreprises possèdent déjà un arsenal suffisant, dont tous les composants ne sont pas nécessairement activés.
En période particulièrement anxiogène, les organisations réclament le déclenchement de l’ensemble de l’offre sécurité d’un éditeur, dans l’espoir vain de parer à tout. C’est une forme de boulimie sécuritaire, aux conséquences plus désastreuses que salutaires sur l’activité. Les équipes sont submergées d’alertes qu’elles ne savent a priori pas traiter, ce qui provoque interrogation, paralysie et mécontentement généralisé.
Souvenons-nous : une serrure 7 points bien comprise et maîtrisée des équipes et des métiers vaudra toujours mieux qu’une solution coffre-fort sans sponsor ni moyens pour l’opérer convenablement.
La sécurité est une question de séquençage et de montée en compétence. C’est un apprentissage long, qui plus est irréalisable si, en amont, la question organisationnelle n’a pas été traitée et les inévitables opérations de communication, information, sensibilisation, formation, qui doivent accompagner cette maturité grandissante, orchestrées.
Brique après brique, les organisations construisent alors une défense particulièrement efficace et surtout dissuasive, le but recherché.