{ Tribune Expert } - Gestion de la cybersécurité en entreprise : c'est le rôle de chacun !
Publié par Adrien Merveille * le | Mis à jour le
Le profil traditionnel de l'expert en cybersécurité, autrefois isolé de la direction générale et perçu comme un mal nécessaire constamment en quête de financement, appartient désormais au passé.
Les cyberattaques ne sont plus une simple hypothèse mais une réalité bien concrète, d'où la nécessité et l'importance des métiers dans la cybersécurité. Tandis que certaines professions telles que l'administration et la création de contenus se voient ébranlées par les progrès de l'IA, les experts hautement qualifiés en cybersécurité restent eux indispensables.
Même les stratégies d'IA les plus sophistiquées comme la détection et la réponse aux menaces en temps réel ne parviennent pas à rivaliser avec la capacité d'adaptation et le sens éthique d'un expert compétent.
Des compétences transversales telles que le « souci du détail », la « résolution créative des problèmes » et la « communication claire » auraient-elles été mentionnées dans la description de poste d'un RSSI il y a quinze ans ? Le profil traditionnel de l'expert en cybersécurité, autrefois isolé de la direction générale et perçu comme un mal nécessaire constamment en quête de financement, appartient désormais au passé.
Aujourd'hui en 2024, les responsables de la cybersécurité sont désormais des acteurs clés dans le monde de l'entreprise et occupent une place de choix car ils sont des experts fiables, des conseillers influents et des forces motrices du changement ainsi que de la stratégie à long terme. Ils se doivent de faire preuve d'une grande humilité face à ce qu'ils ne maîtrisent pas et d'un véritable engagement envers le perfectionnement constant s'ils veulent tenir le rythme effréné de l'industrie.
Une récente enquête de Gartner a révélé que 77 % des RSSI particulièrement actifs prennent l'initiative d'engager des discussions sur l'évolution des normes pour garder une longueur d'avance sur les menaces.
Le rôle du spectateur : un fidèle défenseur ou le maillon le plus faible de l'entreprise ?
Les professionnels de la sécurité ont plusieurs cordes à leur arc. Un « simple spectateur » ne sera pas forcément à la tête de la meute. Au contraire, c'est lui qui, dans l'ombre, effectue des tests d'intrusion, surveille les accès réseau et conduit les audits pour renforcer la sécurité. En réalité, ces « suiveurs » ne sont finalement pas que des spectateurs. Ces experts sont tout aussi indispensables à l'entreprise que le RSSI.
Cependant, la cybersécurité n'est plus exclusivement une discipline technique. Il serait faux de croire qu'elle s'adresse uniquement à ceux qui possèdent des compétences en codage ou une solide compréhension des logiciels. En réalité, tous les membres de l'entreprise devraient jouer un rôle dans la cybersécurité. Voyez les choses de cette façon : si chacun apporte sa contribution, il n'y a plus de « simples spectateurs ».
La grande majorité des entreprises souffrent d'un déficit de compétences de base en cybersécurité. Ce manque d'expertise les rend vulnérables aux attaques d'ingénierie sociale et aux violations de données, par manque de connaissances, de sensibilisation et de formation.
Les sessions de formation, telles que les simulations de phishing et la sensibilisation à la protection des données, aident à réduire le nombre d'erreurs humaines facilement évitables, en particulier chez les employés sans aucune expertise technique. Cela soulève la question suivante : qu'est-ce qu'un bon leader ? Est-ce celui qui sait diriger efficacement des équipes de cybersécurité, ou celui qui parvient à mobiliser l'ensemble de l'organisation en instaurant une culture de confiance, de compétence et de sensibilisation à la cybersécurité ?
Qui tirera les ficelles dans cinq ans ?
Selon Gartner, un grand leader en cybersécurité ne se résume pas uniquement à ses compétences techniques. Dans le CISO Effectiveness Diagnostic, il existe quatre catégories de compétences clés pour les grands dirigeants : Influenceur exécutif, Gestionnaire des risques, Architecte de talents et Navigateur du stress.
Aucune formation technique ne peut réellement vous préparer à gérer une attaque en situation réelle. Lors d'une crise, seules les personnes les plus lucides seront capables de garder la tête froide et de protéger l'entreprise. Même si les professionnels de la cybersécurité sont prêts à intervenir, un responsable de la cybersécurité restera indispensable pour trouver une solution à la crise, atténuer les risques et assurer la communication avec les conseils d'administration et les cadres supérieurs.
Cependant, le vrai problème dont on ne parle pas, c'est qu'il pourrait ne pas y avoir assez de personnel pour protéger l'entreprise. Les lacunes en compétences en cybersécurité et la pénurie de talents affectent les entreprises.
Personne n'a dit que la cybersécurité était chose facile. Les RSSI le disent : leur travail a un impact négatif sur leur santé, un signe clair que ce métier, tel qu'il est aujourd'hui, n'est pas viable. À la lumière de la réalité qui nous attend, cessons de croire que la cybersécurité reste une exigence dictée par la hiérarchie. Les responsabilités doivent désormais être partagées par l'ensemble du personnel.
* Adrien est directeur technique et expert cybersécurité Check Point France.