Il est désormais bien compris que la coopération avec l’écosystème du monde de la cybersécurité est devenue incontournable pour mieux lutter contre les cyberattaques. Néanmoins, il est une autre sorte de collaboration dont on parle moins, qui est essentielle pour assurer la cybersécurité : la collaboration entre les différentes fonctions de l’entreprise.

Par Pascal Antonini, Partner Cybersécurité, TNP Consultants

Le directeur cybersécurité ou RSSI est généralement identifié comme l’acteur majeur de la cybersécurité. Il ne peut cependant agir seul et doit mobiliser les métiers, la DSI, la direction générale et travailler avec les directions des risques, de l’audit interne, de la conformité et le délégué à la protection des données. Son rôle consiste notamment à concevoir et mettre en œuvre un système opérationnel de pilotage et de gestion de la sécurité et coordonner les acteurs internes ou externes.

Les métiers, initiateurs des projets de transformation numérique, doivent s’approprier davantage la cybersécurité. Ce sont eux qui peuvent identifier les menaces spécifiques à leur activité et intégrer ces préoccupations au plus tôt dans leurs projets en étroite collaboration avec le directeur cybersécurité. Ces projets sont aussi l’occasion d’imaginer de nouveaux services basés sur des technologies de sécurité.

La direction du numérique ou DSI se charge de mettre à disposition des métiers des infrastructures et plateformes dotées d’un niveau de sécurité adapté. La collaboration avec le directeur cybersécurité vise à assurer l’efficacité des dispositifs de protection, mais aussi des processus de détection et de réaction aux incidents de sécurité mis en œuvre au sein du SOC (Security Operations Center). La DSI est également clé pour mettre en œuvre l’ensemble des outils et solutions de cybersécurité.

La direction générale doit s’impliquer pour assurer le pilotage stratégique de la cybersécurité dans un contexte où le risque cybersécurité est devenu l’un des deux risques majeurs des organisations. Elle est appuyée par les directions des risques, de l’audit interne et de la conformité.

La plupart des incidents récents liés à la cybersécurité démontrent que cette organisation et ce « jeu collectif » entre les différents acteurs ne sont pas toujours bien intégrés.
Le baromètre cybersécurité du Cesin de janvier 2021 (vague 6) nous apprend que le « shadow IT (mise en place / utilisation d’applications non approuvées) » apparaît être la principale cause d’incidents de sécurité (44 %) devant la présence de « vulnérabilités résiduelles permanentes » (36 %).

Pour les incidents liés au shadow IT, les métiers à l’origine de la mise en œuvre de ces solutions non approuvées n’ont pas pris la juste mesure des risques encourus et de l’importance de faire évaluer la sécurité de ces solutions par des experts.

Dans le cas des « vulnérabilités résiduelles permanentes », les équipes en charge des infrastructures n’ont pas su déployer un processus de gestion des vulnérabilités satisfaisant ; les raisons peuvent être multiples, manque de budget, prise de conscience insuffisante, manque de clarté des politiques de sécurité…

Il est très probable que les entreprises qui ont subi ces incidents de cybersécurité étaient dotées de dispositifs et de moyens en cybersécurité. Cependant, l’implication ou la mobilisation insuffisante de certains acteurs fragilise ces dispositifs jusqu’à les rendre parfois inefficaces. La responsabilisation de chacun n’est plus une option et doit faire l’objet de l’attention de toutes les directions générales. Celles-ci ne sont d’ailleurs pas toujours suffisamment informées de cet impératif ; elles peuvent considérer que ces sujets de cybersécurité sont uniquement techniques et portés par la DSI et le RSSI au travers de la mise en œuvre de technologies dédiées à la sécurité.

Loin s’en faut, au-delà de la technologie, le succès en matière de cybersécurité passe aussi par la gouvernance et les processus, et par-dessus tout, des femmes et des hommes unis par une vision collective partagée.