Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Le CISO ne peut pas tout faire tout seul !

Mai 24, 2022 | Cyber Security | 0 commentaires

Le CISO a une place de plus en plus importante pour tous les business en ce qui concerne la cybersécurité. Mais il est souvent livré à lui-même… Analyse avec Maxime Rapaille, Cyber Security Director, CSM.

La sécurité informatique d’une entreprise ? Peu de dirigeants se posaient vraiment la question il y a quelques années. Mais aujourd’hui, il est vital d’investir dans la cybersécurité de son organisation. Peu importe, d’ailleurs, son domaine d’activités ou sa taille. Pour rappel, un millier d’entreprises belges ont été la cible d’attaques en 2021. Certaines ont franchi le pas en nommant un responsable de la sécurité informatique -CISO, donc. Il est malheureusement souvent débordé devant l’ampleur de la tâche.

A quoi ressemble le CISO idéal selon nombres d’entreprises ? « Il a toutes les compétences et les connaissances dans tous les domaines et peut tout résoudre tout seul », explique Maxime Rapaille, Cyber Security Director, CSM. Quel est donc le souci ? « Cette personne n’existe tout simplement pas ! Le CISO est un porteur de projet. Il a de bonnes bases dans tous les domaines liés à la cybersécurité. Il a surtout la bonne personnalité et peut faire appel à des compétences externes. Il comprend les défis et sait faire appel aux bonnes compétences pour piloter les projets », assure l’expert.

Un coup de main venu de l’extérieur

D’autres expertises seront nécessaires pour mener à bien les projets en tout genre. « Ce sera par exemple le cas quand les organisations et entreprises devront se conformer aux directives européennes NIS 1 et NIS 2 -une norme pour augmenter le niveau de sécurité en cas de cyberattaque. De nombreux critères et obligations devront être respectés », précise Maxime Rapaille. Mais le fossé entre ceux qui s’occupent de cybersécurité et les dirigeants est encore trop grand. Ces derniers ne sont pas assez informés et sensibilisés sur le sujet. Pis : les risques encourus ne sont pas non plus assez pris en considération. Par peur des coûts ?

Tout est souvent une question de budget. « Les entreprises se disent qu’elles ont besoin d’une compétence en sécurité… sans avoir la possibilité d’avoir quelqu’un à 100% », continue Maxime Rapaille. Ce n’est pas forcément nécessaire. « Un CISO-as-a-Service va apporter cette expertise au bon moment et permettre d’augmenter le niveau de sécurité des organisations ». Une solution plus économique avec des prix à la carte ou des prix fixes. « Plutôt que d’envoyer quelqu’un pendant six mois, nous conseillons aux entreprises d’avoir une présence forte au début pour identifier les priorités et faire un travail d’analyse. Des services réguliers et de l’accompagnement sont ensuite fournis ». Tout le monde y gagne : les entreprises bénéficient d’un accompagnement moins coûteux, et le CISO peut effectuer son travail… ou s’y former et être coaché.

Une formation et un coaching pour accompagner le CISO

Les entreprises n’ont pas trouvé le CISO qu’il leur faut, faute de candidats ou de budget ? « Il est tout à fait possible de former quelqu’un d’interne ou un talent à potentiel », ajoute encore Maxime Rapaille. Une personne de l’IT ou un jeune talent pourra ainsi être accompagné, formé et coaché par un spécialiste externe en cybersécurité.

Le but ? « Aider, guider et coacher le futur CISO de l’entreprise à gagner en connaissance et maturité, pour qu’il soit capable de créer et gérer une stratégie et un plan de sécurité, mais aussi d’assurer la représentation et savoir comment s’adresser à tous les publics de l’entreprise, dont le management », décrit l’expert. Une solution qui convient parfaitement aux entreprises qui veulent miser sur leur plus grande force : leur personnel.