{"id":12454,"date":"2019-10-24T09:09:46","date_gmt":"2019-10-24T09:09:46","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12454"},"modified":"2019-11-22T08:45:34","modified_gmt":"2019-11-22T08:45:34","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ciso-2019\/12454\/","title":{"rendered":"Gestion des risques : la comp\u00e9tence principale pour un responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d&rsquo;information"},"content":{"rendered":"<p>L\u2019ann\u00e9e derni\u00e8re, en analysant les <a href=\"https:\/\/www.kaspersky.fr\/blog\/ciso-report\/11107\/\" target=\"_blank\" rel=\"noopener\">commentaires de mes coll\u00e8gues<\/a> quant aux objectifs et probl\u00e8mes de notre secteur, mes sentiments \u00e9taient mitig\u00e9s. Un an apr\u00e8s, il s\u2019av\u00e8re que les r\u00e9sultats de notre nouvelle \u00e9tude sont encore plus int\u00e9ressants.<\/p>\n<p>Lorsque vous d\u00e9couvrez les r\u00e9sultats de ces deux \u00e9tudes, vous remarquez imm\u00e9diatement que la s\u00e9curit\u00e9 des informations en g\u00e9n\u00e9ral et le r\u00f4le de responsable de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (RSSI) sont de plus en plus importants dans le monde des affaires pour au moins 300 de mes pairs. C\u2019est bon signe. Tout comme le fait que de plus en plus de personnes consid\u00e8rent que la \u00ab\u00a0gestion des risques\u00a0\u00bb et d\u2019autres comp\u00e9tences commerciales sont essentielles pour leur poste.<\/p>\n<p>Toutefois, il y a un point sur lequel je ne suis pas d\u2019accord avec mes coll\u00e8gues. Certains pensent encore que les comp\u00e9tences techniques et les connaissances personnelles en mati\u00e8re de syst\u00e8mes informatiques des entreprises sont les comp\u00e9tences cl\u00e9s de leur travail et de leur d\u00e9veloppement futur. M\u00eame s\u2019il me semble \u00e9vident que les RSSI doivent avoir des connaissances techniques et se tenir inform\u00e9s sur les nouvelles technologies, le secteur doit se rendre \u00e0 l\u2019\u00e9vidence\u00a0: les syst\u00e8mes informatiques modernes sont trop complexes techniquement parlant pour qu\u2019ils puissent, m\u00eame potentiellement, en avoir une vue d\u2019ensemble.<\/p>\n<p>De plus, les syst\u00e8mes d\u2019informations vont devenir de plus en plus sophistiqu\u00e9s et c\u2019est ce que pensent la majorit\u00e9 des personnes interrog\u00e9es. C\u2019est pourquoi, en d\u00e9pit de l\u2019importance qu\u2019elles rev\u00eatent, les comp\u00e9tences techniques du RSSI passent apr\u00e8s le d\u00e9veloppement d\u2019autres comp\u00e9tences comme la gestion des risques, la gestion efficace de l\u2019\u00e9quipe et la communication professionnelle. Aujourd\u2019hui, ce qui compte le plus c\u2019est le personnel.<\/p>\n<h2>Comprendre les personnes, pas les syst\u00e8mes<\/h2>\n<p>En r\u00e9alit\u00e9, les syst\u00e8mes informatiques et les technologies de s\u00e9curit\u00e9 sont d\u00e9sormais suffisamment sophistiqu\u00e9s pour permettre aux professionnels hautement sp\u00e9cialis\u00e9s de prendre des d\u00e9cisions critiques pour l\u2019entreprise. La confiance au sein d\u2019une \u00e9quipe est plus importante que jamais avec ce changement. D\u2019une part, le responsable de la s\u00e9curit\u00e9 de l\u2019information doit pouvoir faire confiance aux sp\u00e9cialistes de l\u2019\u00e9quipe. D\u2019autre part, eux aussi doivent pouvoir faire confiance au jugement et aux d\u00e9cisions du RSSI, non pas aveugl\u00e9ment ou sans pouvoir exprimer leurs opinions, mais avec une cause commune et un respect professionnel mutuel.<\/p>\n<p>Selon les personnes interrog\u00e9es, il est parfois plus facile d\u2019obtenir des augmentations de budget pour l\u2019achat de syst\u00e8mes que d\u2019embaucher plus de professionnels de la s\u00e9curit\u00e9 de l\u2019information. Acheter le plus grand nombre possible de syst\u00e8mes dernier cri peut sembler formidable. Cependant, il est beaucoup plus important d\u2019identifier les aptitudes et comp\u00e9tences cl\u00e9s indispensables pour savoir lesquelles peuvent \u00eatre g\u00e9r\u00e9es par des experts en interne ou externalis\u00e9es. En fait, \u00e9tant donn\u00e9 la p\u00e9nurie de sp\u00e9cialistes sur le march\u00e9, je pense que c\u2019est une bonne id\u00e9e de consid\u00e9rer cette externalisation comme une opportunit\u00e9 d\u2019\u00e9largir les capacit\u00e9s du d\u00e9partement et de r\u00e9pondre plus rapidement aux besoins des entreprises.<\/p>\n<h2>De la r\u00e9ponse aux incidents \u00e0 la gestion des risques<\/h2>\n<p>M\u00eame si les principaux acteurs, comme le conseil d\u2019administration ou le PDG, prennent plus en compte le RSSI, la plupart du temps ils appellent \u00e0 l\u2019aide apr\u00e8s qu\u2019il y ait eu un incident. Heureusement, cela semble se produire surtout chez les concurrents ou les pairs de ce secteur. Toutefois, cela d\u00e9montre que de nombreuses entreprises ne consid\u00e8rent pas la s\u00e9curit\u00e9 de l\u2019information comme un outil de gestion des risques de l\u2019entreprise. De plus, lorsqu\u2019on leur demande comment la direction mesure les performances de la s\u00e9curit\u00e9 de l\u2019information, de nombreux RSSI r\u00e9pondent encore que les indicateurs cl\u00e9s sont le nombre d\u2019incidents ou le temps de r\u00e9ponse en cas d\u2019incident.<\/p>\n<p>Il s\u2019agit sans doute de facteurs importants. N\u00e9anmoins, dans le concept moderne de cyber-immunit\u00e9 que pr\u00f4ne Kaspersky, une entreprise bien prot\u00e9g\u00e9e n\u2019est pas seulement celle qui r\u00e9duit le plus possible le nombre d\u2019attaques conflictuelles ou qui enqu\u00eate rapidement sur les incidents, mais celle dont les affaires peuvent se d\u00e9velopper avec succ\u00e8s malgr\u00e9 ces incidents.<\/p>\n<p>Apr\u00e8s tout, les risques tol\u00e9rables et les pertes potentielles acceptables \u00e0 la suite d\u2019incidents diff\u00e8rent selon les entreprises. Parfois, il vaut mieux assouplir les mesures de protection pour stimuler le d\u00e9veloppement des entreprises. Dans d\u2019autres situations, ce n\u2019est pas une option envisageable. Le nombre d\u2019incidents ne peut pas servir de mesure absolue de la performance de la s\u00e9curit\u00e9 de l\u2019information. Il faut aussi prendre en compte la fa\u00e7on dont les mesures de la s\u00e9curit\u00e9 de l\u2019information affectent la rapidit\u00e9 et le co\u00fbt du traitement des t\u00e2ches m\u00e9tier. C\u2019est pourquoi, selon moi, les RSSI doivent avant tout \u00eatre en mesure d\u2019\u00e9valuer correctement les risques et de construire des syst\u00e8mes de s\u00e9curit\u00e9 de l\u2019information parfaitement adapt\u00e9s \u00e0 l\u2019entreprise et \u00e0 ses processus op\u00e9rationnels, plut\u00f4t que de trop se concentrer sur la protection contre les incidents.<\/p>\n<h2>Passer plus de temps avec des avocats<\/h2>\n<p>Les r\u00e9ponses sur l\u2019importance de communiquer avec les autres d\u00e9partements de l\u2019entreprise est un autre point qui m\u2019a marqu\u00e9. Les avocats devraient avoir une plus grande importance. Aujourd\u2019hui, la complexit\u00e9 croissante des syst\u00e8mes d\u2019information et leurs corr\u00e9lations avec, d\u2019une part les services ext\u00e9rieurs, et d\u2019autre part les lois internationales, font que nous ne pouvons pas ignorer les cons\u00e9quences juridiques potentielles des d\u00e9cisions des professionnels de la s\u00e9curit\u00e9 informatique.<\/p>\n<p>Les personnes interrog\u00e9es ont plac\u00e9 la communication avec les avocats au quatri\u00e8me rang, apr\u00e8s les gestionnaires financiers, le conseil d\u2019administration et les coll\u00e8gues du service informatique. Il me semble que les \u00e9changes avec les avocats devraient au moins pr\u00e9valoir sur ceux avec les gestionnaires financiers. Si vous consid\u00e9rez la s\u00e9curit\u00e9 de l\u2019information comme un outil de gestion des risques de l\u2019entreprise, c\u2019est tout \u00e0 fait logique.<\/p>\n<p>L\u2019enqu\u00eate offre des donn\u00e9es beaucoup plus int\u00e9ressantes, c\u2019est pourquoi je vous recommande de la lire en entier.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un RSSI doit passer beaucoup de temps \u00e0 \u00e9changer avec le monde des affaires et a besoin d\u2019une \u00e9quipe de professionnels capables d\u2019effectuer des t\u00e2ches techniques hautement sp\u00e9cialis\u00e9es. <\/p>\n","protected":false},"author":2498,"featured_media":12449,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[921,3222],"class_list":{"0":"post-12454","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-recherche","10":"tag-rssi"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ciso-2019\/12454\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ciso-2019\/16804\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ciso-2019\/14193\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ciso-2019\/18788\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ciso-2019\/16835\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ciso-2019\/15587\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ciso-2019\/19501\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ciso-2019\/18155\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ciso-2019\/24017\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ciso-2019\/6616\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ciso-2019\/29014\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ciso-2019\/14474\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ciso-2019\/11356\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ciso-2019\/21606\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ciso-2019\/24385\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ciso-2019\/19364\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ciso-2019\/23572\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ciso-2019\/23419\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rssi\/","name":"RSSI"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12454","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2498"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=12454"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12454\/revisions"}],"predecessor-version":[{"id":12594,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12454\/revisions\/12594"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/12449"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=12454"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=12454"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=12454"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}