EVENT
Vis ma vie de CISO
Les enjeux auxquels les responsables informatiques doivent répondre, face à des environnements de plus en plus complexes, sont conséquents.
July 13, 2022
La vie de CISO n’a rien d’évident, comme on a pu le constater à l’occasion des Rencontres de la Sécurité Informatiques d’Excellium Services. Les enjeux auxquels les responsables informatiques doivent répondre, face à des environnements de plus en plus complexes, sont conséquents. Des solutions existent pourtant pour renforcer leur capacité à agir efficacement.
La gestion de la sécurité informatique implique de pouvoir appréhender de plus en plus de sujets. La mission du CISO, plus que jamais, doit appréhender des contextes évoluant de plus en plus vite et mettre en œuvre des politiques de sécurité à l’échelle d’écosystèmes complexes. Pour un seul homme, cela fait beaucoup. « Le quotidien de CISO n’est pas des plus facile. 9 CISO sur 10 déclarent être dans un état de stress qu’ils situent entre modéré et élevé. 4 sur 10 déclarent que ce stress a un impact sur leur vie privée », commentait Johann Alessandroni, Information Security Governance Team Leader au sein d’Excellium Services, à l’occasion des dernières Rencontres de la Sécurité Informatique qui se tenaient en juin dernier à Mondorf-les-Bains, avant d’introduire le concept de « CISO Augmenté ».
Les principales attentes du CISO
Comment faciliter la vie des responsables de la sécurité informatique ? Pour répondre à cette question, le mieux est de se pencher sur les préoccupations et attentes des CISO. La première, certainement, est de pouvoir disposer d’une visibilité sur l’ensemble des contrôles mis en place et évaluer leur niveau de maturité à intervalles réguliers. « Si l’on regarde les statistiques, seulement 40% des CISO peuvent affirmer quel est le niveau de sécurité de leur organisation avec certitude. Dans cette même logique, ils souhaitent aussi pouvoir mesurer la performance des contrôles de sécurité au départ d’indicateurs pertinents », poursuit l’expert d’Excellium. Un autre enjeu est de pouvoir transmettre des rapports directement compréhensibles et correspondant aux attentes du management. « Cela doit faciliter le renforcement de la culture de la sécurité à l’échelle de l’organisation, le suivi des projets et des tâches récurrentes, ajoute encore Johann Alessandroni. Ensuite, il faut permettre au CISO de gagner du temps, en lui épargnant les opérations à faible valeur ajoutée. De cette manière, il peut se consacrer davantage à l’amélioration de la sécurité, en intégrant notamment les exigences réglementaires qui évoluent sans cesse. Enfin, il faut lui permettre d’exprimer clairement les conséquences business associées à des risques cyber. »
Comment faciliter ma vie du CISO ?
En effet, la vie du CISO, qui doit veiller à mettre en œuvre une politique de sécurité en poursuivant un objectif cible, dans un périmètre qui évolue sans cesse, et en étant capable de répondre aux défis actuels, n’a rien d’évident. « L’enjeu, pour faciliter la vie des responsables de la sécurité, consiste à rassembler l’ensemble des éléments inhérents à la gestion de la sécurité dans une seule solution, ajoute Johann Alessandroni. De cette manière, on peut contribuer à l’avènement d’un CISO augmenté, qui dispose d’une vue consolidée sur l’ensemble des événements et des contrôles relatifs à la sécurité, et peut plus facilement communiquer, au départ d’indicateurs précis, envers les diverses parties prenantes de l’organisation. Un tel outil doit lui offrir la possibilité de prendre des décisions en cohérence avec l’ensemble des enjeux propres à l’organisation et surtout d’épargner du temps qu’il peut consacrer aux vrais enjeux. »
Une solution vers un CISO augmenté
La bonne nouvelle pour les CISO, c’est qu’il n’est pas nécessaire de croire au Père Noël.
A l’occasion des Rencontres de la Sécurité Informatique, Excellium a mis en avant la solution et l’approche portées par AugmentedCISO, qui vise justement à faciliter la vie des responsables informatiques. « Au cœur de la solution, il est possible d’établir un cadre de gouvernance de la sécurité, qui tient compte du contexte de l’entreprise, et d’évaluer le niveau de maturité pour mieux définir une feuille de route à la poursuite d’objectifs établis, précise Noël Chazotte, Alliance Manager d’AugmentedCISO. La solution permet d’opérer la sécurité de l’information en intégrant en un point l’ensemble des activités et des projets liés à l’exécution de la roadmap et aux tâches récurrentes. Au-delà de cet atout, elle permet aussi d’établir des rapports relatifs à la performance de la sécurité et facilite la communication au départ de tableaux de bord adaptés aux attentes des équipes. »
La solution, plus particulièrement, permet d’aligner plus efficacement les enjeux de sécurité avec les exigences réglementaires ou imposées dans le cadre d’une certification. Elle permet d’améliorer la gestion de la sécurité dans des environnements complexes. Enfin, grâce aux indicateurs, elle donne la possibilité d’effectuer un reporting de manière pertinente sur les risques de sécurité.