Découvrez le chef d’orchestre de la cybersécurité dans l’organisation
Nous avons déjà parlé du RSSI plus tôt dans ce cours pour sa gestion de la crise à travers le pilotage d’une des cellules de crise. Mais son périmètre de responsabilité dépasse largement la gestion de la crise. En effet, le RSSI pilote la cybersécurité sous différents axes : son organisation, son animation en interne et en externe, sa stratégie.
Voyons plus en détail ses tâches permettant de prévenir et de protéger son organisation contre les cyberattaques bien avant qu’elles surviennent :
définir la stratégie et la feuille de route sécurité de l’organisation ou de son périmètre de responsabilité, en fonction des enjeux et des risques identifiés ;
piloter l’organisation sécurité (recrutement, ressources, budget) ;
représenter la sécurité en interne (auprès du comité de direction, des employés) et en externe (avec les autorités de régulation, les clients) ;
définir les politiques de sécurité et piloter leur implémentation opérationnelle ;
assurer la culture sécurité et la sensibilisation des employés ;
contrôler le respect des politiques et procédures de sécurité (contrôles permanents, audits) ;
selon la taille de l’organisation, le RSSI a également les mains dans l’opérationnel, et participe à la mise en œuvre de la feuille de route définie.
Pour définir sa stratégie, vous vous doutez bien que le RSSI s’appuie sur des ressources externes et des modèles de sécurité communs à l’écosystème. Retrouvez-les dans le document des ressources clés.
Un des modèles qui se déploient le plus ces dernières années est le Zero Trust.
Zero Trust, ça veut dire qu’on ne fait confiance à personne ?
Pas exactement… Mettre en œuvre le principe du Zero Trust, cela signifie qu’on vérifie que l’identité de la personne qui réalise des actions sur le système d’information est bien celle qu’on pense être. Cela rejoint les vérifications d’identité faites dans un aéroport : vous devez présenter vos documents d’identité à plusieurs endroits stratégiques avant d’être admis dans votre avion.
Le RSSI fait tout ça tout seul ? C’est un vrai superhéros alors !
Bien sûr, le RSSI ne peut pas réaliser toutes ces tâches seul dans son coin… Vous avez vu que la communication avec les autres équipes et en externe faisait partie de ses tâches, ainsi que le recrutement de son équipe et la sensibilisation des collaborateurs. Pour ces activités, l’appui des équipes de ressources humaines et de communication est essentiel !
Écoutons Ayoub El Assal, directeur cybersécurité, qui va nous présenter le métier :
Les équipes RH interviennent sur de nombreux sujets permettant d’assurer la sécurité des informations de l’organisation, avant, pendant et après l’embauche d’un collaborateur : recrutement, sensibilisation, formation, processus disciplinaire, gestion des arrivées et des départs, etc. Leur soutien est crucial.
Pendant la crise de l’hôpital Santé Céleste, elles ont pu être sollicitées pour gérer des problématiques liées aux employés : paiement des salaires en l’absence d’un système d'information fonctionnel, rotation des employés dans la gestion de crise, etc.
Les équipes de communication ont un rôle clé lors de la gestion de crise, comme nous l’avons vu plus tôt avec l’hôpital Santé Céleste. Mais elles sont aussi utiles en prévention des cyberattaques, sur la formalisation de supports de communication en interne et en externe, la préparation de la stratégie de communication en amont d’une crise, etc.
Super, toutes ces équipes qui collaborent avec et au sein de l’équipe de cybersécurité, mais j’ai du mal à avoir une vision globale de tout ça…
Prenez un peu de recul sur l’organisation de l’équipe de sécurité informatique
Nous avons parlé d’un grand nombre d’équipes, et il est temps de comprendre comment celles-ci s’articulent et s’organisent.
Commençons par l’équipe de sécurité informatique.
La plupart du temps, l’équipe de sécurité informatique fait partie de l’équipe informatique. Elle est souvent composée de plusieurs sous-équipes (ou rôles) qui sont encadrées par le RSSI. Un exemple d’organisation de l’équipe Cybersécurité pourrait être le suivant :
L’équipe chargée de la gouvernance, des risques et de la conformité. Elle définit les règles de sécurité et pilote leur mise en œuvre. Les métiers de la GRC ne nécessitent pas d’être un expert technique, mais d’avoir une bonne connaissance des enjeux de cybersécurité, et de savoir évaluer et prioriser les risques. Parmi ces métiers, nous avons découvert ensemble :
analyste des risques ;
chargé de conformité ;
gestionnaire de crise ;
auditeur de cybersécurité (organisationnel).
L’équipe chargée de la sécurité des applications et des systèmes.
Ces métiers définissent, implémentent ou contrôlent techniquement la bonne sécurisation des composants du système d’information :
architecte sécurité ;
responsable de sécurité applicative ;
auditeur technique (pentester).
L’équipe de sécurité opérationnelle.
Ce sont les équipes techniques qui gèrent les étapes, de la détection des incidents de sécurité à la réponse à ces incidents :
analyste SOC et responsable SOC ;
analyste de la menace ;
analyste CERT/CSIRT et responsable CERT/CSIRT.
N’oublions pas les autres équipes dont nous avons parlé, et qui collaborent étroitement avec l’équipe de cybersécurité :
côté technique et mise en œuvre opérationnelle :
l’équipe informatique,
l’équipe de développement ;
côté équipes transverses :
l’équipe des risques,
l’équipe juridique,
les ressources humaines,
la communication.
Enfin, rappelez-vous que tout cela se fait au sein d’un écosystème complexe, avec de nombreux acteurs qui participent à la montée en maturité de la cybersécurité !
En résumé
Vous avez enfin découvert qui orchestrait l’équipe Cybersécurité, et les relations avec les autres équipes ! Vous avez aussi :
compris que le RSSI était clé dans la définition de la stratégie, des priorités de l’équipe, et de la bonne communication avec toutes les parties prenantes ;
découvert une organisation possible de l’équipe Cybersécurité, au sein de l’équipe informatique.
Il est temps désormais de se tourner vers l’acteur principal de ce cours : vous ! Que vous soyez tenté par une carrière en cybersécurité ou non, vous pouvez en être une partie prenante active. Continuez ce cours et vous saurez comment contribuer à votre échelle à une meilleure cybersécurité !