Nous le savons tous, aujourd’hui la cybersécurité ne peut plus être négligée dans les entreprises quelle que soit leur taille et leur activité.
En effet, les ROFL*[1]Reputation – Operations – Finance – Legal/Regulation sont bien trop importants et il est donc nécessaire d’organiser sa structure en intégrant un CISO[2]Chief Information Security Officer/RSSI[3]Responsable Sécurité Système d’Information ou d’externaliser cette fonction indispensable à la protection des actifs de votre organisation en considérant les risques encourus par celle-ci ainsi que les exigences de conformité contractuelles ou réglementaires qui pèsent sur elle.
Dans ce contexte, nous avons décidé d’interviewer Sébastien Wagner, CISO chez Excellium Services Group. A travers cet article, découvrez en plus sur le rôle et les responsabilités d’un CISO au sein d’une entreprise.
CISO Interview
Quel est le rôle d’un CISO/RSSI ?
Un CISO/RSSI est responsable de la stratégie de sécurité de l’information et de la protection des actifs informationnels d’une entreprise.
Ce poste exige une parfaite compréhension de l’organisation : ses valeurs, sa stratégie, sa mission, ses objectifs, les enjeux internes et externes liés à la sécurité de l’information (comme les lois et réglementations applicables, les engagements contractuels, …) ainsi que les forces et les faiblesses.
C’est sur cette base de compréhension globale que le CISO/RSSI pourra assurer la gestion de la conformité et la gestion des risques et des risques cyber.
Comprendre pour mieux gérer, telle est l’aptitude indispensable au CISO
La bonne gouvernance et la résilience sécuritaire sont le cœur même de cette fonction qui permet d’assurer et d’améliorer en continue votre posture cybersécurité.
Ses principaux rôles pourraient être résumés à ces 3 lettres :
- Gouvernance => Compréhension de l’environnement et mise en place de la stratégie de sécurité.
- Risque => Analyse, traitement et surveillance des risques, en tenant compte de l’appétit aux risques de l’organisation.
- Compliance => Compréhension de l’ensemble des exigences de conformité légales, réglementaires et contractuelles ainsi que la mise en conformité oeuvre et la surveillance de la conformité.
Comment mettre en place une stratégie de sécurité?
Le CISO est un leader en matière de stratégie de sécurité pour une entreprise et il est chargé de traiter les problèmes de sécurité immédiats et de planifier de manière proactive afin d’éviter que des problèmes de sécurité ne surviennent à l’avenir.
La stratégie doit être adaptée à l’activité et enjeux de l’entreprise et prendre en compte son évolution et croissance. La stratégie de sécurité doit être adaptée aux besoins de l’entreprise.
Gestion des opérations de sécurité
Parallèlement à la mise en place de la stratégie sécurité, le CISO/RSSI veille aux risques techniques et organisationnels liés à la sécurité de l’information de l’organisation. Le CISO/RSSI n’est pas impliqué dans les activités opérationnelles de sécurité, c’est le rôle de l’IT ou des équipes sécurité opérationnelles. Le CISO assure la supervision des opérations de sécurité.
Architecture de sécurité
L’IT et les équipes techniques conçoivent et font la gestion quotidienne de l’architecture.
Le CISO/RSSI est responsable de s’assurer que l’architecture de sécurité et sa gestion répondent de manière satisfaisante aux exigences de conformité et est adéquate pour limiter les risques cyber à un niveau acceptable pour l’organisation.
Il faut bien noter que c’est le Management de l’organisation qui établit la politique de sécurité de l’information. Le CISO est le garant de son respect au sein de l’entreprise.
Réponse aux incidents
Le CISO/RSSI supervise les actions préventives, détectives et correctives tout au long du cycle de vie du système d’informations. Il s‘assure également que ces activités soient effectuées conformément à la politique de sécurité.
Conformité
Le CISO/RSSI est le leader au sein de l’entreprise lorsqu’il s’agit de répondre aux exigences de conformité légales et réglementaires en matière de sécurité de l’information. Il est également considéré comme le “chef d’orchestre” au sein de la société qui pilote et maintient un haut niveau de maturité globalement dans toute l’organisation en matière de sécurité l’information.