Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

RECHERCHES ET BULLETINS

Votre chef de la sécurité de l’information est-il à la hauteur de la tâche : 3 questions à se poser

 


Le rôle d’un chef de la sécurité de l’information a changé de manière importante au cours des cinq dernières années, alors que le piratage a gagné en intensité, en sophistication et en volume. Alors que l’on reconnaît aujourd’hui que la cybersécurité n’est pas un problème seulement technologique, on s’attend à ce que le chef de la sécurité de l’information soit autant un dirigeant qu’un expert technique.

Bien que les organisations soient attentives aux risques pesant sur la cybersécurité depuis quelque temps, le rôle de chef de la sécurité de l’information se répand seulement depuis 15 ans. À l’origine, le chef de la sécurité de l’information aurait pu s’appeler précisément « administrateur système en chef », car le rôle consistait en grande partie à gérer les appareils de sécurité, les vulnérabilités des systèmes, les contrôles d’accès ou la conformité aux exigences réglementaires.

Aujourd’hui, le rôle du chef de la sécurité de l’information est général et stratégique. Si les compétences techniques des chefs de la sécurité de l’information d’hier sont encore nécessaires, elles sont insuffisantes en soi. De nos jours, un bon chef de la sécurité de l’information doit être capable de travailler efficacement avec les responsables de l’entreprise et les spécialistes de la gestion de risques, aussi bien qu’avec le personnel technique, les techniciens de sécurité du service des technologies de l’information (TI) et divers spécialistes en la matière pour gérer stratégiquement les cyberrisques.

Puisque le rôle de chef de la sécurité de l’information s’élargit et change, il est important que les organisations se posent les questions ci-dessous afin d’évaluer l’efficacité de leur chef de la sécurité de l’information :

1. Le chef de la sécurité de l’information possède-t-il les habiletés appropriées?

La bonne nouvelle, c’est qu’il n’existe pas de recette unique du succès. Un chef de la sécurité de l’information n’a pas nécessairement besoin de compétences techniques pour réussir. En fait, selon un rapport publié par la société Digital Guardian, 40 % des chefs de la sécurité de l’information possèdent un diplôme de commerce. Les chefs de la sécurité de l’information titulaires d’un diplôme en technologies de l’information ne sont que 27 %, suivis de près par ceux ayant un diplôme en informatique (23 %).

L’essentiel est que les chefs de la sécurité de l’information, quelle que soit leur formation, soient des dirigeants efficaces pour le personnel et les programmes, comprennent l’entreprise et sa dépendance aux technologies de l’information, comprennent ce que la cybersécurité apporte à l’entreprise et entretiennent des liens avec le directeur des systèmes d’information et la direction des TI. Ils doivent engager un dialogue avec ces dirigeants afin de forger une opinion commune sur l’architecture de la sécurité, de définir les rôles des activités des services des TI et de la sécurité et d’obtenir des résultats en constituant la bonne équipe et en nouant les bonnes relations internes.

L’intégralité des membres de cette bonne équipe doivent posséder l’expérience et l’expertise associées à tout l’éventail des compétences en cybersécurité, et elle doit être composée de professionnels en assurance et en gestion de risques, d’architectes et d’ingénieurs de la sécurité des réseaux, du personnel des opérations de la sécurité des TI et d’analystes judiciaires, de spécialistes des réactions aux incidents, ainsi que de gestionnaires de projets, de bons communicants, etc. La capacité du chef de la sécurité de l’information à constituer une équipe dont les membres ont des compétences qui se complètent et se renforcent, et à les retenir, est cruciale.

Il est important que le chef de la sécurité de l’information montre qu’il est un dirigeant en prenant des décisions prudentes et en mobilisant les autres dirigeants de l’entreprise et leurs pairs.

2. Le chef de la sécurité de l’information est-il capable d’expliquer les risques de manière concise – menaces actuelles, probabilité et conséquences comprises – de manière à ce que les hauts dirigeants de l’entreprise le comprennent, le soutiennent et agissent en conséquence?

De nombreuses organisations cherchent à définir leur tolérance aux risques et leur appétence au risque et à perfectionner leurs stratégies de cybersécurité. Les chefs de la sécurité de l’information doivent savoir quelles données et quels problèmes doivent être transmis à l’attention du conseil et comment les présenter.

Les conseils sont susceptibles de comprendre les conséquences pour la société des cyberrisques si on les leur présente en termes financiers. En comprenant où les répercussions financières peuvent apparaître, le conseil et les dirigeants peuvent collaborer efficacement pour faire des investissements stratégiques en matière de cybersécurité. Un chef de la sécurité de l’information efficace doit par conséquent être diplomate, avoir le sens des affaires et être un communicant doué, capable de déterminer les investissements en sécurité de l’organisation et de les aligner sur l’appétence au risque du conseil.

En raison du contexte des risques en constante évolution, les chefs de la sécurité de l’information doivent surveiller régulièrement les menaces, rectifier les programmes de cybersécurité de l’organisation et informer régulièrement le conseil des nouveaux projets.

3. Le chef de la sécurité de l’information est-il capable d’apporter plus de précision à l’entreprise en matière de gestion de risques liés à la cybersécurité?

Le chef de la sécurité de l’information a la responsabilité de définir une stratégie en matière de cyberrisques permettant de protéger les ressources d’information cruciales en mettant en place des contrôles rentables axés sur les risques. Les chefs de la sécurité de l’information doivent comprendre la mission, les affaires, la technologie, l’appétence aux risques et les capacités actuelles en cybersécurité de l’organisation, ainsi que les cybermenaces auxquelles elle doit faire face.

La première étape essentielle en ce qui concerne la gestion des cyberrisques – ou la gestion de tout risque opérationnel – consiste à caractériser le risque. De nombreux spécialistes de la cybersécurité d’aujourd’hui, expérimentés en risques liés à la cybersécurité, sont imprégnés du paradigme « faible, moyen, élevé » pour caractériser un risque. La précision et la force expressive limitées de ce paradigme représentent aujourd’hui un frein important pour les efforts de gestion des risques d’entreprise.

Quelle est la valeur en dollars de « 1 chance sur 20 » d’enregistrer des cyberrisques dans l’année à venir? Le chef de la sécurité de l’information doit pouvoir donner une réponse toute prête. Jusqu’à récemment, les méthodologies existantes étaient trop rudimentaires, et le champ des solutions trop large pour répondre à cette question en toute confiance. Pourtant, les méthodes et les outils nécessaires à la quantification des cyberrisques en termes financiers sont de plus en plus pratiques et suffisamment fiables pour prendre des décisions liées à la cybersécurité.

Le chef de la sécurité de l’information doit jouer un rôle clé pour permettre à l’entreprise de quantifier les cyberrisques ainsi que pour mettre en place des outils pratiques pour les calculer. La compréhension des pertes financières liées aux cyberaccidents aide le chef de la sécurité de l’information à définir des stratégies d’atténuation des risques au moyen d’investissements en contrôles de sécurité et à repérer les expositions qui peuvent être transférées dans une garantie contre les cyberrisques.

Se mettre sur la voie du succès

En fin de compte, les dirigeants et les membres du conseil doivent soutenir le chef de la sécurité de l’information et lui donner de l’autonomie – surtout nécessaire lorsque des pratiques de sécurité nouvelles ou améliorées sont requises ou quand de nouveaux investissements en matière de sécurité peuvent entraîner la modification de processus d’entreprise existants.

Les chefs de la sécurité de l’information peuvent apporter des changements, ayant des incidences importantes pour la réussite et la longévité des entreprises de nos jours.  Les conseils et les dirigeants ont besoin de s’assurer qu’ils choisissent, puis soutiennent le chef de la sécurité de l’information qui occupe un poste de plus en plus critique pour l’entreprise.  En outre, les conseils et les dirigeants doivent renforcer le message que tous les responsables de l’organisation ont un rôle à jour en matière de cybersécurité et doivent travailler avec le chef de la sécurité de l’information pour s’assurer qu’ils sont réactifs et qu’ils assument leurs responsabilités particulières en matière de cybersécurité afin de faciliter la réussite continue de l’entreprise.

Le chef de la sécurité de l’information est le principal responsable de la cybersécurité. Mais, de la même façon que le programme de cybersécurité de l’organisation est adapté aux évolutions des politiques et des directives réglementaires aux échelles provinciales et fédérales, tous les responsables doivent s’assurer que leurs domaines de responsabilité particuliers – juridique, ressources humaines, finances, exploitation, logistique, etc. – sont adéquatement représentés dans le programme de cybersécurité de l’organisation et que celui-ci reflète les besoins de l’entreprise.