La Cybersécurité par les Nombres - Episode 1

La Cybersécurité par les Nombres - Episode 1

No alt text provided for this image

L’Episode 0, consacré à l'origine, à l'inconnu, à l'inaccessible, a repris des concepts technologiques, marketing ou philosophiques parfois anciens. Zero-Knowledge (Cryptographie), Zero-Day (Menace-Vulnérabilité), Zero Risk et Zero Trust. Autant de termes qui ont occupé et occuperont à jamais tous les professionnels de la cybersécurité, en particulier celui ou celle qui incarne la fonction depuis 30 ans pour certains, beaucoup moins pour d’autres.

Cet épisode sur l’Unité traite de celui ou celle qui réunit ce qui se disperse et harmonise des approches parfois divergentes voire opposées.

Le terme « RSSI » est spécifique à la France et au monde francophone. Certains utiliseront l’acronyme CISO (Information Security) ou CSO (Security ou Cyber Security) dans le contexte international. On ne parle sans doute déjà plus de la même chose mais peu importe. Et le « R » pose d’entrée un défi. Car comment assumer une telle responsabilité ? Débat sans fin…

« RSSI » regroupe au final de nombreuses visions et modes d’intégration au sein des organisations, à la fois dans le rôle, le champ et le rattachement. Si bien qu’il n’existe pas de réelle définition-type même si des bases génériques et des modèles se dessinent par secteur d’activité mais aussi par pays.

Les bases de la fonction : Quoiqu’on fasse, on ne peut être « RSSI » sans une excellente connaissance des technologique numériques, des règlements, normes, standards et méthodologies du domaine, sans une analyse permanente des menaces et des solutions permettant de s’en prémunir. Cependant, ce socle pourra s’exprimer dans des domaines divers et avec une profondeur variable selon que l’on intervient dans une logique managériale (Direction), d’expertise (Conseil) ou de mise en œuvre (Opérations). Les qualités de communicant et de reporting éclairé dans toutes les dimensions sont aussi majeures. Le volet économique voire financier du domaine prend enfin une importance accrue dans une logique de Gestion des Risques.

Le Système d’Information étendu : Quoiqu’on dise, le Système d’Information des années 2000 a explosé depuis 5 ans par la montée en puissance des services Cloud et l’explosion des volumes de données. Le RSSI s’est donc mué et transformé dans 3 directions, notamment dans les grandes entreprises. D’une part, en « prenant du galon » hors de la DSI (par exemple, Direction Cybersécurité rattachée au Board), d’autre part, au sein même d’une DSI en se rapprochant du DSI (ou en fusionnant avec la fonction), voire enfin au sein des métiers et des fonctions pour les responsabiliser au bon niveau (shadow IT, e-business, e-commerce). Nous passons de l’unité au ternaire (cf. Episode 3)...

La meilleure équipe gagne : Quoiqu’on pense, au fil des ans, la fonction SSI s’est étoffée et renforcée. Le / la RSSI seul (e) est condamné (e) à l’échec. Être deux est un strict minimum. Construire une équipe adaptée dans son contexte est un enjeu majeur autour de 2 principes de base : respecter la séparation des pouvoirs (cf. Episode 12 sur les rôles de la cybersécurité) et externaliser ce qui n’est pas régalien ou stratégique (le marché le permet). Les tensions sur le marché de l’emploi obligent aussi à s’appuyer sur des ressources connaissant le métier et ses enjeux, la culture et l’organisation et à les former de manière accélérée…

Pour plus de diversité et de mobilité : nous voici confrontés à des paradoxes majeurs. La diversité est plus que jamais nécessaire mais se heurte au manque de femmes dans les formations techniques comme au manque de vocation pour des métiers peu valorisés dans la société (malgré des rémunérations attractives). La mobilité permet de se renforcer par des expériences variées dans des environnements divers, mais se heurte à l’obligation de parfaitement maîtriser son environnement, sa culture et son organisation… Le rapprochement voire la fusion des fonctions SSI et Protection des données améliore aussi une vision technico-juridique indispensable, malgré des antagonismes évidents. Et au final, rester 10 ans dans la même fonction "SSI" dans la même entreprise peut devenir un problème…

L'Épisode 2 sera consacré ... au binaire et à quelques concepts qui méritent d'être revus régulièrement tant on constate des écarts et des dérives dans leur compréhension et leur application : menace vs vulnérabilité, attaque vs défense, sécurité vs liberté.

Série d'épisodes reprenant une conférence du 3 Décembre 2018, à l'invitation du MEDEF Ile de France et de Gérard PELIKS lors d'un Lundi de l'IE. Cybersécurité vs Sécurité Numérique – Le poids des mots, Le choc des nombres.

To view or add a comment, sign in

Others also viewed

Explore topics