La lettre de Frédéric Simottel n°31 ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌
Cette newsletter vous a été transférée ?
Abonnez-vous en cliquant ici
🤫 Travaillez tranquille, le CISO veille
La lettre de Frédéric Simottel n°31

Dans la newsletter aujourd’hui

Pour les abonnés gratuits :

L’édito de Frédéric Simottel : Travaillez tranquille, le CISO veille

Pour les abonnés payants :

  • Chiffres et études : Hausse de menaces et exposition aux risques
  • La Tribune : “Réseaux sociaux : pourquoi faut-il sensibiliser ses collaborateurs aux arnaques ?” avec Par Théo Zafirakos, Chief information Security Officer chez Terranova Security.
  • À ne pas manquer sur le web : Comment Apple teste la fiabilité de ses iPhone ?
« Cybersécurité : anticiper, absorber, protéger », tel était le thème d’un récent évènement auquel j’ai participé, entourés de CTOs. D’une discussion technique sur les outillages pour bien se préparer aux bonnes pratiques de restauration post-attaque, les échanges ont été riches et instructifs. Parmi les angles de discussion, l’un d’entre eux a plus particulièrement retenu mon attention sur notamment les relations CTOs, CISOs et comité exécutif.—Frédéric Simottel
Quelque soit la taille de votre entreprise, si les échanges entre le Comité exécutif et le Responsable de la sécurité des systèmes d’information restent cantonnés au budget débloqué pour les solutions techniques, c’est qu’il est temps de donner un grand coup de pied dans la fourmilière.
« La meilleure décision que j’ai prise a été de venir faire témoigner le PDG d’une société attaquée au sein de mon board de dirigeants. Ça les a clairement réveillés sur le sujet », confie le directeur technique d’un groupe industriel. Il est évident, pour avoir moi-même recueilli des témoignages d’entreprises piratées, que l’on reste marqué par les expériences vécues. Et, comme dans les faits divers, on se projette très facilement dans sa propre vie.
Toutefois, même si cette initiative pour interpeller le Comex semble assez simple, et si beaucoup de chemin a été parcouru quant à la reconnaissance du rôle des CISOs (Chief Information Security Officers) dans l’entreprise, il reste encore du travail pour assoir la légitimité de cette fonction.
Bien entendu, cela dépend tout d’abord des capacités de leadership de la personne concernée. Mais aussi brillant soit-il, s’il n’est pas écouté et surtout pas entendu par une hiérarchie peu sensibilisée, à quoi bon. Mais réjouissons nous que de plus en plus sa position est en train d’évoluer. Certes, cela varie d’une entreprise à l’autre ; selon son domaine d’activité et le type d’organisation, l’approche pourra différer légèrement. 
Comment intégrer la cyber au Comex
Avec en premier lieu son positionnement : le patron de la cyber doit-il faire ou non partie du Comex. Plusieurs cas de figures se présentent aujourd’hui. Le premier, le plus évident pour beaucoup est qu’il soit rattaché à la DSI dont il partage l’ADN.  Il devra dans ce cas jouir d’une totale autonomie et bénéficier de la confiance pleine et totale de son DSI en matière de budgets et de priorités. Mais d’autres cas de figures se dessinent dans les organisations modernes. Des entreprises rattachent aujourd’hui ce poste au comité d’audit et risques, voire directement au Comex. Une évidence pour certains, le signe de la maturité cyber d’une entreprise pour d’autres. Le CISOs devient alors l’interlocuteur privilégié du Comex, voire de l’actionnaire. Il diffuse la politique sécurité dans toute l’entreprise. Il présente les risques, l’évolution des menaces, suggère des stratégies tant curatives que préventives. Il n’a qu’une obsession, la résilience. Impliqué dans toutes les décisions de l’entreprise, il travaille avec tous les métiers. Indépendant de la DSI ou la direction technique, il doit leur établir une feuille de route très orientée IT et confirmer son positionnement d’autorité indépendante des fonctions auditées.
Impliqué dans toutes les décisions de l’entreprise, il travaille avec tous les métiers. Indépendant de la DSI ou la direction technique, il doit leur établir une feuille de route très orientée IT et confirmer son positionnement d’autorité indépendante des fonctions auditées. Moins impliqué sur des choix techniques, il coordonne toutes les opérations de sécurité, anime les ateliers stratégiques, organise des comités de pilotage, garanti la cartographie et la hiérarchisation des risques, s’assure que la sécurité opérationnelle est correctement pilotée, que les règles de conformité sont respectées. Il se coordonne enfin avec les ressources humaines  
Un permis à points cyber
A ce sujet, parmi les bonnes pratiques, beaucoup d’entreprises que je rencontre organise en moyenne deux gros exercices par an : un pour tester le plan de reprise d’activité, un autre pour valider le plan de continuité d’activité. Des exercices sont aussi régulièrement menés sur des opérations de d’hameçonnage. Sur ce point, un directeur technique m’a expliqué avoir mis en place un permis à points. Au premier point perdu, le salarié reçoit un simple rappel. Au deuxième, il doit suivre une formation en ligne. Au troisième, il a rendez-vous avec le RSSI. Au quatrième, il est convoqué à la DRH avec son DG….
Je profite de l’offre à seulement 2.50Є / mois
Un tableau synthétique présenté au Comex
En retour, le CISO doit pouvoir aussi apporter au Comex des preuves que les engagements qu’il promeut sont efficaces. La plupart me confirment avoir élaboré un dashboard qui reprend tout un tas d’indicateurs sur les financements, l’impact des décisions prises et présente de manière synthétique une dizaine d’informations clés sur les risques, les plans d’actions, les coûts engagés. 
La dernière de ses importantes prérogatives porte sur la gestion de crise. Il doit être l’interface unique avec l’extérieur pendant que ses équipes et celles des CTOs travaillent à résoudre le problème. « Dans ces cas-là, il doit être plus particulièrement mobilisé en permanence. Durant les 2 jours où l’on cherche à repérer l’origine de l’attaque, pendant les 2 semaines où l’on constate, audite et réparons ce qui peut l’être et enfin pendant les deux mois suivants où l’on reconstruit. Durant toute cette période, il doit être notre rempart pur nous permettre de travailler en toute sérénité », conclut un CTO.  
...
Vous souhaitez lire la suite de cet article ?
Cet article est réservé aux abonnés payants, abonnez vous dès maintenant pour le recevoir en intégralité et lire la suite.
Passer à la version payante
Vous avez aimé cette newsletter ? Likez, partagez, abonnez-vous !
Passer à la version payante
publication_image
BFM Business Cybersécurité
Par Frédéric Simottel
Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes
"Vous recevez ce mail car vous vous êtes abonné à la newsletter BFM Business Cybersécurité sur Kessel. Pour gérer votre abonnement, cliquez ici.
© 2023 Kessel