Dans un environnement où les menaces sont de plus en plus aiguisées et où les surfaces vulnérables aux attaques ne cessent de croitre, la patience des Responsables de la sécurité des systèmes d’information (RSSI) est mise à rude épreuve.
D’après la dernière « Cartographie prospective 2024 des risques de la profession de l’assurance et de la réassurance » de France Assureurs, le risque de cyberattaque reste en tête des préoccupations pour l’année 2024.
Dans un environnement où les menaces sont de plus en plus aiguisées et où les surfaces vulnérables aux attaques ne cessent de croitre, la patience des Responsables de la sécurité des systèmes d’information (RSSI) est mise à rude épreuve.
Quand les données d’une entreprise sont volées, quelle que soit la qualité de son système de sécurité, cela marque le grand public qui devient méfiant. Il y a, a contrario, peu de visibilité sur les attaques déviées ou sur les mesures et actions prises au quotidien afin de sécuriser les données d’une structure.
Pour un RSSI, le risque qu’un incident survienne malgré les systèmes de sécurité mis en place est permanent, et cette pression peut être lourde à porter. Les politiques de protections sont-elles suffisantes pour limiter les dommages résultant de menaces connues ? Les équipes de sécurité ont-elles reçu les formations et explications nécessaires ? A-t-il, à titre personnel, fourni assez d’éléments pour donner à ses collaborateurs les moyens d’agir en cas d’attaque ?
La sécurité, une priorité pour l’ensemble de l’entreprise
Les risques d’attaque sont élevés et il est fort probable que les entreprises soient tôt ou tard la cible d’actions malveillantes. Bien qu’un grand nombre d’entre elles, ayant investi du temps et des ressources importantes dans leur stratégie de cybersécurité, parvient à déjouer les attaques et à limiter les dégâts, les médias évoquent plus souvent celles dont la protection a échoué.
La majorité des RSSI sont conscients des risques d’attaques et de leurs conséquences désastreuses, et font tout leur possible pour sensibiliser les entreprises. Cependant, ils ne sont pas en charge de la gestion de ces risques pour le compte de l’entreprise. Leur mission relève de présenter toutes les informations utiles aux équipes en charge des décisions.
Ainsi, les RSSI doivent pouvoir collaborer et discuter librement avec les dirigeants afin de faire les bons choix pour la stratégie globale de l’organisation.
Ils ont donc un rôle de communication sur les risques et de conseil sur leurs impacts. En parallèle, ils veillent à ce que l’entreprise continue d’investir dans des outils de cybersécurité de bout en bout. Ils doivent être en mesure d’apporter des informations tangibles et quantifiables sur les dégâts générés par des incidents. Pour ce faire, avoir une connaissance importante du marché et des délais de réaction en fonction des attaques est nécessaire : plus ils sont longs, plus les dégâts risquent d’être importants.
Malheureusement, de nombreux RSSI font aujourd’hui le constat d’une grave pénurie de compétences. Sans remplacer des emplois qui existent déjà, l’implantation démocratisée de l’IA permet d’automatiser certains systèmes, anticipant les besoins des entreprises.
Les réunions en conseil d’administration abordent ces nombreuses problématiques et il est attendu d’eux qu’ils aient toutes les réponses techniques, certes, mais aussi une bonne compréhension des enjeux commerciaux, sans oublier des propositions pour réduire les coûts.
Les évolutions des politiques d’entreprise au rythme des menaces
La pression que peuvent recevoir les RSSI est due à la valeur des données, dont le volume croissant ne fait qu’augmenter la surface exposée aux attaques. Au vu de la quantité d’informations stockées et accessibles via le cloud, la supervision et la gouvernance deviennent de plus en plus complexes. Désormais, la gestion de la surface exposée ne concerne plus seulement le réseau et les appareils, puisqu’elle doit inclure le cloud.
De même, face aux ransomwares, de nouvelles tactiques ont un impact sur la valeur des données. Il ne s’agit pas seulement de protéger celles-ci, mais aussi de sécuriser leur intégrité et leur confidentialité. Le chiffrement seul ne suffit pas toujours, ce qui explique la volatilité actuelle des primes d’assurance pour ce type d’incident.
Il est désormais imprudent de se fier aux anciens dispositifs de protection encore trop souvent utilisés. Réfléchir constamment aux systèmes de contrôle et aux exceptions actuels et futurs, ainsi qu’à la manière de les gérer fait partie du rôle des RSSI et doit donc s’accompagner des outils les plus efficaces pour répondre aux menaces et aux risques associés.
Anticiper pour lutter contre la complexité
De nombreuses entreprises considèrent que la complexité est l’ennemi ultime. Mais plutôt que de la combattre, elles remettent souvent cela à plus tard, ce qui ne fait qu’aggraver la situation.
Malheureusement, la complexité d’un environnement informatique n’est pas un problème que le RSSI peut résoudre à lui seul. De nombreuses décisions doivent être prises en tenant compte de certains besoins et situations spécifiques, plutôt qu’en fonction d’une stratégie globale. Le rôle d’un RSSI est donc de réduire et de gérer les risques en les présentant de façon synthétique à ses responsables et aux autres fonctions concernées, tout en gardant un œil sur les contraintes budgétaires.
Certes, le quotidien des RSSI n’a rien d’un long fleuve tranquille, mais ils ont aussi des raisons d’être optimistes. Des améliorations radicales des réglementations, des normes et des dispositifs s’imposent, avec notamment des mises à jour des mesures existantes qui tiennent compte des besoins d’innovation dans les systèmes de contrôle (la réglementation ISO, par exemple, a été mise à jour de sa version de 2013 à celle de 2022 pour tenir compte des bouleversements technologiques de cette dernière décennie).
Au niveau humain, les RSSI sont aujourd’hui en mesure de s’entretenir avec les fonctions dirigeantes pour mieux les impliquer dans leurs processus de prises de décisions. Les discussions sur la cybersécurité s’ouvrent à un plus grand nombre d’interlocuteurs, ne se limitant plus aux équipes spécialisées.
