La cybersécurité est devenue un enjeu majeur, voire critique, pour toutes les organisations. Dans ce post, je partage mon expérience en tant que “sérial” RSSI, afin d'aider les DSI qui débutent dans un nouveau poste et s'intéressent à la cybersécurité.

La cybersécurité constitue un risque conséquent. De mes discussions avec de nombreux DSI, il ressort que c'est un sujet préoccupant. Comment éviter qu'un incident de cybersécurité ne compromette tous les efforts déployés pour faire progresser la DSI et ses nombreux projets ?

Dans cet article, je présente 5 points essentiels à examiner rapidement lorsqu'on commence un nouveau rôle de DSI.

1. Identifier le Référent Cybersécurité

Dans les organisations où des mesures de cybersécurité sont déjà en place, il y a souvent un RSSI en poste. Il est crucial de se rapprocher rapidement de cette personne, d'échanger et de tisser des liens de confiance, surtout en cas de crises majeures comme une attaque par ransomware ou des demandes clients spécifiques.

Si l'organisation n'a pas de RSSI, il est probable qu'un membre des équipes serve déjà de point de contact pour la cybersécurité. Identifier cette personne est essentiel. Selon le niveau de maturité de l'organisation, ce référent peut se trouver à différents niveaux hiérarchiques. Généralement, dans les organisations moins matures, ce référent est intégré à l'équipe infrastructure.

L'absence d'un référent ou d'un RSSI en cybersécurité est une lacune critique qu'il faut adresser sans délai. Il est impératif de désigner quelqu'un pour assumer ce rôle et lui fournir la formation nécessaire. Pour les organisations avec des ressources limitées, engager un RSSI à temps partagé, que ce soit pour quelques jours par an ou en temps partiel, peut s'avérer une solution efficace.

2. Maîtriser la Réaction aux Incidents

En tant que DSI, la préoccupation que je rencontre le plus régulièrement est la menace d'une cyberattaque par ransomware. Cela entraine :

1. Le chiffrement des données

2. L'incapacité de restaurer les sauvegardes

3. Une paralysie de l'entreprise pendant des mois

Pour se préparer à de tels incidents, il est crucial de vérifier rapidement la capacité de la DSI à y faire face. Il est important de déterminer qui gérera l'incident, et comment mobiliser l'équipe responsable de cette gestion.

L'idéal est d'avoir un service de SOC (Security Operations Center) déjà en place, qu'il soit interne ou externe. Le SOC est responsable de la détection et de la réponse aux incidents cybersécurité. Cependant, il faut être vigilant : un SOC n'est pas simplement un logiciel de type SIEM. Un véritable SOC combine plusieurs outils, dont le SIEM, avec des ressources humaines et des processus dédiés à la gestion des incidents.

3. Faire un état des lieux des obligations cybersécurité légales et contractuelles

Aujourd'hui, toute organisation est soumise à des obligations en matière de cybersécurité, qui peuvent être de nature légale ou contractuelle.

Les obligations légales varient selon le secteur d'activité et peuvent concerner plusieurs entités.

Les obligations contractuelles se manifestent souvent à travers des questionnaires et annexes de cybersécurité dans les contrats.

En tant que DSI, il est utile de discuter avec le responsable commercial pour savoir si des questionnaires de cybersécurité sont en jeu. Parfois, les équipes commerciales y répondent elles-mêmes, souvent de manière inadéquate. Dans d'autres cas, elles font appel à la DSI. Identifier et gérer ces demandes clients est essentiel, surtout dans les marchés publics où une simple référence au cahier de clauses simplifiées de cybersécurité (CCSC) peut avoir de grandes conséquences.

Concernant les obligations légales, la plus connue est le Règlement Général sur la Protection des Données (RGPD ou GDPR). Un autre cadre réglementaire important est la Directive Européenne NIS2, qui entrera en vigueur en 2024. Cette réglementation obligera de nombreuses organisations à renforcer leur cybersécurité. C'est un enjeu majeur car, au-delà des amendes potentielles, elle implique également une responsabilité pénale pour les managers des entreprises.

4. L’Arsenal Cybersécurité : Outils et Technologies

En matière de cybersécurité, je dis souvent, comme de nombreux confrères RSSI, que le sujet numéro un reste la gouvernance et le pilotage de la cybersécurité. Cependant, pour un DSI, une première évaluation de la maturité en cybersécurité peut se faire en examinant les outils technologiques déjà en place.

Un élément clé à considérer est la présence d'un EDR (Endpoint Detection and Response) sur les postes de travail. En tant que RSSI, cet outil est crucial pour répondre efficacement aux incidents, y compris les attaques par ransomware. Il est important de savoir si un EDR est déployé, sur quels postes de travail et serveurs, et qui gère les alertes de sécurité qu'il génère.

5. Quelles Ressources Financières et Humaines ?

De mon expérience avec de nombreux DSI, j'ai observé que le budget numérique est souvent évalué en pourcentage du chiffre d'affaires de l'organisation, un ratio comparé à celui du secteur d'activité. En cybersécurité, ce ratio est adapté aux ressources de la DSI.

Pour les organisations sans obligations majeures en cybersécurité, j'ai fréquemment constaté que 5% de leur budget numérique y est consacré. Ce même pourcentage s'applique souvent aux ressources humaines, équivalant à 5% des équivalents temps plein (ETP) ou Full-Time Employees (FTE) en anglais.

Lorsque les obligations sont plus strictes, comme celles imposées par la Directive NIS2, l'organisation peut se retrouver à allouer un pourcentage plus élevé de son budget à la cybersécurité.

Conclusion

En tant que DSI, il est crucial d'identifier rapidement :

1. Qui, au sein de votre organisation, peut gérer les incidents et les exigences de cybersécurité des client

2. Comprendre le fonctionnement et attribution des ressources techniques, financières et humaines.

Fort de 15 ans d'expérience en cybersécurité dans les secteurs civils et de la défense, j'ai fondé CyberLead, un cabinet de conseil spécialisé en cybersécurité. Notre équipe composés d’experts techniques et de consultants déploient la cybersécurité dans toutes les dimensions physiques et numériques.

Si vous débutez dans un rôle de DSI et souhaitez une aide concernant la cybersécurité, je vous propose un échange pour faciliter votre prise de fonction dans ce domaine.

Discutons ensemble