Rechercher
  • David Rozier

Orchestrer la cybersécurité en entreprise : qui est en charge?


“La cybersécurité, oui, attendez, je vous passe le responsable informatique!”

Cette phrase est probablement celle qui est la plus entendue de notre force de vente. Et pourtant c’est tellement réducteur…

J'enfonce des portes ouvertes? Eh bien détrompez-vous, cette erreur, qui consiste à voir le responsable informatique comme le responsable de la sécurité numérique est encore largement répandue, y compris au sein d’entreprises numériques par nature (éditeurs de logiciels) et dans l’esprit de jeunes collaborateurs.

Quelques pistes de réflexion : Toutes les briques numériques impliquées d’une façon ou d’une autre dans l’activité d’une entreprise sont potentiellement (et probablement) porteuses de risques. Votre infrastructure numérique de fonctionnement : vous êtes un cabinet d’avocats, vos moyens numériques de stockage et de communication numériques sont des risques connus. Là c’est votre équipe informatique, effectivement, souvent externalisée, qui est en charge. Au fait, votre prestataire informatique est-il un expert en cybersécurité?

Votre infrastructure numérique de fabrication : et oui, l’industrie 4.0 vous y êtes. Votre ligne de fabrication commence à intégrer certains objets connectés et vos équipements génèrent des données qui font le bonheur de vos ingénieurs en production. Tout cela est-il dans les mains du service informatique? Le même que celui qui gère les mises-à-jour du traitement de texte du service administratif? Sacré grand écart, alors peut-être que le responsable de production lui parle peu de ces nouveaux capteurs intégrés sur les équipements qui permettent d’affiner le pilotage de la ligne à distance…

Vos produits logiciels : que ce soient des logiciels complets ou simplement quelques lignes embarquées sur le dispositif que vous commercialisez, ce code logiciel comporte des risques dépendant de sa conception et de son implémentation. Injection SQL et validation d’entrée ça vous parle? Ce n’est pas le responsable infrastructure qui va s’en soucier. Ici donc, le responsable logiciel, ou les ‘product owners’, selon votre organisation, doivent se saisir de la problématique. L’impact matériel d’une attaque serait peut-être chez vos clients, mais l’impact réputationnel et donc financier sera bien chez vous…

Vos employés : comment ça ils ne constituent pas une brique numérique? Utilisation de matériel informatique personnel pour travailler, divulgation d’information sur les réseaux sociaux professionnels ou autres, stockage de documents professionnels sur clouds douteux, clicks sur e-mails de phishing, etc. Le responsable informatique ne peut pas tout contrôler, et vos employés constituent donc une ‘shadow IT’ inévitable dont le service informatique ne peut pas assumer la responsabilité. Alors, ici, nous pourrions impliquer le service Qualité? Ou pour les petites structures le service Ressources Humaines? Je ne fais ici qu’effleurer la complexité du paysage de la sécurité numérique. Alors, comment faire pour impliquer ces multiples responsables qui ont souvent beaucoup de travail et ne sont pas spécialistes en cybersécurité?

La bonne idée consiste à doter votre entreprise d’un outil et d’un rôle. L’outil : la Politique de Sécurité du Système d’Information (PSSI). Ce document permet de bâtir une stratégie globale de sécurisation des pratiques de l’entreprise et de l’implémenter partout. Le rôle : le Responsable de la Sécurité du Système d’Information (RSSI). La mission de cet expert consiste à piloter la sécurité numérique de l’entreprise dans sa globalité, en collaboration avec le responsable informatique ou infrastructure, en collaboration avec les responsables logiciels, en collaboration avec les services Qualité et RH, etc. Le RSSI pourra (devra) concevoir une PSSI et s’assurer de son application au quotidien. Employer cet expert à temps plein c’est souvent impossible ou simplement pas nécessaire pour les TPE et de nombreuses PME. Le RSSI externalisé, à temps partagé est la solution. CyberSecura propose depuis sa création des prestations d’accompagnement à temps partagé, portant ainsi sa vision que ce rôle, inscrit dans la durée et dans la transversalité, est la bonne manière d’améliorer de manière pérenne la sécurité numérique de toute entreprise, petite ou grande.

Posts récents

Voir tout

© 2023 by CYBERSECURA    -   Photos par Blueys Photographie et Laetitia Michel