Le recours massif au télétravail durant la crise du Covid-19 a grandement participé à l’explosion des actes de piratage à l’encontre des entreprises. Pour se prémunir des risques, ces dernières peuvent actionner plusieurs leviers : sensibiliser ses salariés, réorganiser ses équipes et recruter un RSSI, qui après avoir été le maître d’œuvre de la sécurité, peut désormais en assurer la maîtrise d’ouvrage.
La crise sanitaire a mis en exergue la vulnérabilité informatique des entreprises, et notamment de leur système d’information. D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre de victimes de cyberattaques a été multiplié par 4 en 2020. La faute à la généralisation du télétravail, mais pas que. Le manque de sensibilisation aux risques cyber, l’absence de maîtrise des SI, le non-respect des mesures d’hygiène informatique, combinés à la pénurie d’experts en sécurité informatique sont autant de faiblesses exploitées par les cybercriminels. Or, dans une économie de la donnée, les attaques informatiques font courir un risque toujours plus important aux entreprises trop « légères » en la matière. Comment agir ? Nos pistes.
- Sensibiliser l’ensemble de ses salariés
En matière de sécurité informatique, le facteur humain est souvent le maillon faible. 90 % des incidents de sécurité sont dus à une erreur humaine, selon IBM. Maintenant que la plupart des organisations ont installé des pare-feux et des filtres anti-phishing, c’est en effet vers les salariés que les cybercriminels se déportent pour mener leurs attaques et entrer dans les systèmes informatiques. De manière autant directive que pédagogique, les dirigeants doivent sensibiliser leurs collaborateurs aux risques cybercriminels, par le biais d’actions de communication et de formation. Tout l’enjeu consiste à faire émerger des bonnes pratiques au sein des équipes telles que l’application des mises à jour de sécurité sur tous leurs équipements connectés, le renfort de la sécurité de leurs mots de passe, la sécurisation de leur connexion wifi pour éviter toute intrusion, quel que soit le lieu où ils travaillent, l’extrême vigilance vis-à-vis des messages inattendus qui peuvent être des tentatives d’hameçonnage.
- Réorganiser ses équipes en interne
La sécurité du système d’information d’une entreprise est historiquement une mission qui incombe aux métiers de l’infrastructure informatique et réseaux, desquels émergent les actuels responsables sécurité des systèmes d’information (RSSI). Puisque l’enjeu de sécurité devient de plus en plus global, une direction des risques pourrait, demain, être créée au sein des organisations. C’est déjà le cas dans certains grands groupes d’assurance, où la gestion des risques est une préoccupation quotidienne. Aux côtés du directeur de la sécurité technologique, le directeur des risques – ou risk manager – pourrait porter les projets de sécurisation en interne. Comme celui de RSSI, le profil de directeur des risques est toutefois difficile à dénicher. Selon la granularité technique du candidat cible, l’appui d’un cabinet de conseils et/ou d’un cabinet de recrutement est une option à privilégier. En fonction de la taille de l’entreprise, embaucher cet expert à temps partagé peut également constituer une bonne alternative.
- Faire évoluer le rôle du RSSI
Le RSSI a évidemment une carte à jouer dans l’application de la politique de sécurité de l’information de son entreprise. Il est toutefois important qu’il ne fasse pas cavalier seul. Selon un rapport réalisé par Proofpoint, seuls 20 % des RSSI estiment être en adéquation avec leur hiérarchie sur les questions de cybersécurité. Pour que ces experts puissent travailler efficacement, les dirigeants doivent leur octroyer une place de choix et les rendre visibles des membres du COMEX. Car la sécurité d’un système d’information est avant tout une question de gouvernance. Si les RSSI cataloguent les risques pour s’en prémunir, ce sont les dirigeants qui sont à la manœuvre quand il s’agit de prendre les décisions adaptées. Le champ de compétences des RSSI doit donc évoluer pour travailler en binôme avec la direction générale et les directions métiers, de sorte que son poste prenne une dimension transverse et stratégique, et non simplement technique. Ce profil étant rare sur le marché de l’emploi, il peut être intéressant d’ouvrir son sourcing à des professionnels non issus du système d’information, mais dotés d’une forte sensibilité à la sécurité informatique et d’une grande capacité à vulgariser un sujet éminemment technique.
Un bon RSSI, c’est… Un conseiller : son rôle est avant tout d’informer, de sensibiliser et d’alerter la direction générale comme l’ensemble des collaborateurs sur les risques qu’encoure un S.I. Un leader : sa capacité à fédérer différents publics (direction générale, direction métiers, opérationnels, équipes IT…) est clé lorsqu’il doit décrocher des budgets pour mener ses projets. Un pédagogue : il communique avec la direction, qui est souvent allergique au jargon de la sécurité informatique et à qui il transmet des indicateurs audibles et exploitables. Un esprit curieux : la cadence des évolutions technologiques est telle qu’il doit rester en veille sur des sujets tels que les langages de programmation, les systèmes d’exploitation, la virtualisation… |
Vincent Monnet, Directeur associé d’Arrowman Executive Search, intervenant dans la practice Technologie & Digital.
Laisser un commentaire