Un rôle stratégique pour la sécurité
La sécurité est aujourd’hui autant une évidence qu’une nécessité : quelle entreprise peut aujourd’hui se passer d’antivirus sur les postes de travail, de tests d’intrusion sur ses sites marchands ou de mettre en place de certificats sur ses sites web ? Si ces principes paraissent si évidents, cela veut aussi dire que nous sommes passés de la sécurité opérationnelle à la sécurité stratégique. La question n’est alors plus « comment dois-je installer mon antivirus ? » mais « comment puis-je protéger mes utilisateurs ? » et ce changement de prisme donne une toute autre dimension au rôle du Responsable de la Sécurité au sein de l’Entreprise : le RSSI.
Le RSSI : un luxe ?
Le poste de RSSI dans les entreprises est devenu la norme aujourd’hui. Cet acteur est maintenant incontournable dans la vie de l’Entreprise et dans son évolution. Il est là pour apporter un cadre sécurisé pour le développement de l’entreprise et des gages de gestion des risques informationnels en interne et en externe. Les RSSI ne peuvent plus se contenter d’avoir des profils techniques et pointus, discutant uniquement avec leurs congénères techniciens ; ils doivent aussi (et surtout !) être en mesure de prendre en compte les enjeux stratégiques de l’entreprise, discuter avec tous les Métiers de l’Entreprise pour leurs apporter les meilleures solutions de maîtrise des risques et adapter les bonnes pratiques de gouvernance de la sécurité à leur contexte de travail.
Cette évolution « culturelle » a permis au RSSI de passer un cap mais a aussi rendu ce genre de profils rare et très recherché. Les grandes entreprises se sont dotées de ce poste et ont réussi en majorité à pourvoir les postes ouverts, mais pour les petites et moyennes entreprises c’est une autre histoire. Ce que nous remarquons globalement dans les PME Françaises, c’est que les principes de sécurité opérationnelle sont appliqués à différents niveaux de maturité, mais que le RSSI est la plupart du temps absent : la fonction est alors cumulée par une autre fonction (DSI, Responsable d’Exploitation, etc.) de manière ponctuelle et compensatoire. Avoir un poste dédié pour la sécurité est alors vu comme un luxe, pas tant par les services informatiques, qui en voient la nécessité, mais par le management de l’Entreprise. Du moins, tel est le cas, jusqu’à la première attaque Malware ou défacement de site web. Mais alors le jeu vaut-il vraiment la chandelle de courir un tel risque ? Ou alors les PME sont-elles condamnées à courir ce risque en permanence ?
La solution du CISOaaS
Le RSSI (en anglais CISO) peut lui aussi suivre la mode de la mutualisation : Quoi de mieux que de disposer d’un expert en sécurité, qui connait votre Entreprise et qui peut intervenir à la demande selon vos besoins en termes de sécurité. Les besoins de sécurité pour les PME peuvent être ponctuels par exemple :
Je dois rédiger une politique de sécurité ou une charte informatique pour mes employés.
Je veux mettre en place un site web et j’aimerais valider les mesures de sécurité.
Les besoins peuvent aussi être urgents :
J’ai une attaque Malware, je fais comment ?
Un de mes clients me demande un Plan d’Assurance Sécurité avant de contractualiser avec nous.
Pour tous ces besoins de sécurité, il important de disposer d’un service flexible et efficace qui repose sur un ou des experts en sécurité qui connaissent l’organisation et qui peuvent intervenir à la demande. Chez Actinuance, nous mettons à disposition des PME notre expertise en sécurité pour les accompagner au mieux de leurs besoins de ressources. Cet accompagnement s’articule autour :
D’une prise de connaissance de l’organisation pour bien connaître les enjeux et le contexte de l’entreprise et être à même d’intervenir rapidement dans l’organisation
D’un support de conseil pour répondre aux questions organisationnelles, fonctionnelles et techniques liées à la sécurité des SI
D’une base de méthodologie, de benchmark de sécurité et de livrables-types que nous avons constitué tout au long de nos missions
D’outils de pilotage de risques, d’aide aux choix solutions de sécurité et de cartographie de données sensibles
Pour plus d’informations sur notre offre « CISOaaS », rendez-vous sur notre site internet : https://www.actinuance.com/cisoaas/
Nidhal