De nombreuses crises cyber ont été médiatisées ces deux dernières années et ont touché tous types d’entreprises et secteurs d’activité. Des événements retentissants, avec de lourds impacts financiers et réputationnels, des cyber-attaques qui détruisent des systèmes ou qui volent des données.
Et plus récemment, des attaques combinant ces deux types d’impacts, assorties de demandes de rançons très élevées. Des clients finaux touchés, mais aussi leurs fournisseurs, petits et gros éditeurs et opérateurs, de plus en plus ciblés, pour un retentissement encore plus fort sur nos écosystèmes hyper connectés.
Les organisations saisissent désormais pleinement, à la fois l’intensité de la menace, et la complexité à mettre en place une défense performante. Chaque affaire survenant chez un confrère fait craindre de vivre une situation similaire dans les jours qui suivent ou de subir un dommage collatéral, par les effets d’une latéralisation rapide.
Devant ce constat, les entreprises se mobilisent. La cybersécurité s’invite dans les comités exécutifs et les conseils d’administration. Elle s’immisce dans l’ensemble de l’activité de l’entreprise. Elle touche à tous les métiers, à tous les domaines. Elle se développe sous une forme différente et bien plus structurée qu’auparavant.
Il faut désormais adresser différents domaines de l’IT et du Digital, des systèmes industriels et de l’IOT, avec une part importante des systèmes et des données hébergés dans des environnements cloud. Il faut prendre en compte un règlementaire durci en matière de données personnelles et intégrer la sécurité by design dans les projets, avec un focus sur la relation avec les tiers en termes d’évaluation, de contractualisation, d’interconnexion et de schémas de responsabilité.
La dimension assurantielle est désormais également très présente dans le panel des moyens de traiter les cyber risques. Et bien sûr, la cybersécurité doit s’exercer dans toutes les entités et géographies de l’entreprise. Elle doit par ailleurs adresser les sujets DevOps, l’APIsation et la data science. Des nouvelles expertises sont nécessaires, pour des nouvelles façons de traiter les risques.
Le rôle des utilisateurs a évolué lui aussi, puisque, par exemple, la gestion des espaces collaboratifs cloud leur est souvent déléguée avec les risques que cela comporte de mauvaises configurations et erreurs d’usage. Le développement de la culture sécurité est plus que jamais nécessaire dans cette consommation décentralisée voire parfois incontrôlée des solutions et ressources IT.
Enfin, l’élément le plus structurant dans les nouvelles équipes de cybersécurité est certainement la composante de cyber défense. Il est nécessaire de mettre en place un dispositif très opérationnel et tactique, à la fois puissant et agile, pour assurer la détection et la réponse aux incidents et aux crises.
On assiste à un rééquilibrage entre les fonctions de protection en amont et les fonctions aval de défense.
Ces grandes transformations nécessitent de construire une Direction Cybersécurité forte et pilotée par un cadre dirigeant, le Directeur Cybersécurité.
Ce dirigeant doit être missionné formellement par la Direction Générale, positionné de façon adéquate dans l’entreprise et doté des moyens nécessaires à l’accomplissement de sa mission, dans toutes ses dimensions et sa transversalité, pour répondre aux enjeux de la protection des activités et de l’information de l’entreprise et pour en assurer la cyber résilience.
Le Directeur Cybersécurité doit structurer ses équipes, en tenant compte des métiers, de la structure et de la culture de l’entreprise. Il va vraisemblablement s’appuyer sur des RSSI spécialisés pour piloter les différents domaines sous sa responsabilité, domaines fonctionnels, techniques et géographiques.
Le Directeur Cybersécurité doit apporter sa vision et son expertise pour élaborer une stratégie cybersécurité qu’il décline dans des programmes pluriannuels, en cohérence avec les enjeux métiers de l’entreprise. Il doit construire et démontrer la confiance dans le numérique auprès de toutes les Directions de l’entreprise, ses salariés, mais aussi ses partenaires, fournisseurs et clients.
Le Directeur Cybersécurité mène une activité singulière et exigeante où d’un côté il accompagne l’innovation et les ambitions des métiers et de l’autre il mène un combat complexe, obscur et souvent asymétrique, en développant des techniques, des méthodes et des pratiques qu’il faut réinventer sans cesse. Leadership, vision et pragmatisme pour un métier en plein épanouissement.
La traque des risques ne devrait pas se limiter à la conformité réglementaire. Ces audits…
Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent…
Une des thématiques émergentes en 2024 sera de ré-évaluer le socle constitué par le réseau…
Dans un environnement où les menaces sont de plus en plus aiguisées et où les…
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du…
La cybersécurité est plus que concernée par les révolutions induites par l’informatique quantique. S’il est…