Le Responsable Sécurité des Systèmes d’Information ou Chief Information Security Officer est une fonction clé sur laquelle repose en grande partie la réussite du programme sécurité. Sous cette dénomination se cachent des profils différents qu’on peut qualifier suivant plusieurs critères : taille de l’équipe à manager, périmètre de responsabilité, rattachement, enjeux de sécurité de l’entité, poids de la conformité, complexité des systèmes d’informations… La tâche peut paraitre ardue pour le nouveau CISO. Voici les 10 conseils pour bien démarrer (première partie).

 

Connaitre les métiers de son entité

Pour analyser les enjeux de sécurité, il faut apprendre à connaître les métiers. Quel est le business, qu’est-ce qui est critique en termes de processus et d’informations, comment fonctionne l’entreprise, quel est le poids de la conformité ? Cette connaissance est indispensable pour fixer des priorités, proposer des arbitrages budgétaires et bâtir son plan d’action sécurité. Sans cela, le CISO aura une approche de type « bonnes pratiques », à l’aveugle, sans réelle valeur ajoutée. Cette phase de connaissance du métier est chronophage mais se révèlera un excellent investissement. C'est un prérquis à toute approche risques figurant par exemple dans les bonnes pratiques de la norme ISO 27005.

Disposer d’une cartographie des systèmes d’information

Difficile de sécuriser ce qu’on ne connait pas ! On connait néanmoins la difficulté de maintenir à jour une cartographie pour des environnements informatiques complexes qui évoluent au gré des acquisitions, fusions, migration dans le Cloud, interconnexion de nouveaux partenaires, développement de nouveaux métiers… Ce point est tellement important qu’il fait maintenant l’objet d’une exigence spécifique de l’ANSSI pour les OIV (opérateur d’importance vitale) qui doivent déclarer précisément leur système d’information vital. Le CISO a tout intérêt à travailler avec les urbanistes quand ils existent ou toute fonction qui dispose d’une cartographie du SI. Ce point est critique pour tout le cycle SSI, de la prévention à la réaction.

Développer une capacité d’audit.

L’évaluation du niveau de sécurité est incontournable. Plusieurs niveaux d’audit et de contrôle interne existent généralement dans les structures importantes, surtout si le métier est fortement régulé. Le CISO doit avoir sa propre force de frappe. Il doit être moteur aussi bien dans la définition des périmètres d’audit, leur conduite mais aussi la mise en œuvre des plans de remédiation. Les audits peuvent prendre plusieurs formes : tests d’intrusion externes ou internes, audits de configuration, contrôle de procédures ou de politiques. Les résultats alimentent les analyses de risques et constituent d’excellents indicateurs de performance.

Mettre au point une capacité de réaction rapide.

L’efficacité du processus de réaction aux incidents de sécurité en dit souvent long sur la maturité SSI de l’organisation. Le CISO doit mettre en place un dispositif pour qualifier un événement suspect puis décider des actions réactives et correctives. Pour cela, il doit préalablement avoir réfléchi à la question et savoir quelles ressources, internes ou externes il peut mobiliser en fonction des incidents. La disponibilité des logs et la capacité à pouvoir faire des requêtes pour obtenir rapidement des informations pertinentes sur l’incident en cours est un élément fondamental. En cas d’incident majeur ou de crise, le CISO doit prendre des décisions et coordonner les actions comme un véritable chef d’orchestre.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :