Les 9 axes de travail pour réussir ses premières semaines en tant que RSSI
Les premières semaines d’un RSSI sont souvent très intenses, voici ce à quoi vous pouvez vous attendre et selon moi les éléments les plus importants :
le fameux roadshow de toutes les personnes à rencontrer
la compréhension des risques de l’entreprise
la compréhension des environnements techniques
la conformité et son déploiement dans l’entreprise
la roadmap IT
l’organisation des équipes internes
Rapidement, il faut pouvoir démontrer un succès pour inspirer confiance et bien obtenir les moyens pour déployer la cybersécurité telle que souhaitée.
De par mon expérience actuelle de CEO de CyberLead et par mes expériences passées en tant que RSSI de plusieurs organisations, je vous partage mon avis sur le sujet et vous propose des premières axes de solutions.
1. Mettre en œuvre des RDV récurrent avec les personnes clés
C’est un grand classique, et bien souvent dans les premiers jours, notre management nous prévois tout un ensemble de RDV pour faciliter notre intégration. Ce qui est plutôt une bonne chose pour commencer rapidement.
Le RSSI, de par sa fonction est amené à faire des points réguliers avec un ensemble d’acteurs clés dans l’organisation. Je vous propose ici une liste de personnes à rencontrer de manière régulière.
En fonction des organisations, il est nécessaire d’adapter cette liste. Si le poste n’existe pas encore, il vous faudra trouver la personne qui endosse officiellement ou non la responsabilité.
Voici une idée de personnes à rencontrer régulièrement
Le DSI : Personne clé, potentiellement votre responsable, dans tous les cas, c’est de lui que viendra une bonne partie de votre budget cybersécurité.
Le DPO : En charge de la partie RGPD. Il a souvent de très bonnes connexions dans l’entreprise, et de par son rôle est amené à collaborer avec le RSSI
Le responsable des risques / contrôle interne : Ce poste peut être fusionné en fonction des organisation ou bien séparés.
Le responsable infrastructure numérique : De nombreuses mesures de sécurité vont lui être destinées. C’est aussi un acteur important à sensibiliser, très à l’aise sur les sujets techniques de sécurité.
Le DRH : De nombreux sujets le concerne. D’expérience, de nombreux sujets de fuite de données amènent à collaborer avec le DRH. C’est mieux de le rencontrer avant. Le sujet communication interne est souvent rattachée à cette personne. Pour les sujets sensibilisation c’est aussi une personne clé
Le Directeur Financier : Les personnes manipulant des données financières sont des cibles prioritaires pour les cybercriminels. Ces derniers mois, nous avons pu observés de nombreux phishing, usurpations de comptes et des techniques de bypass MFA. C’est une population à protéger en priorité selon moi.
Le Directeur des Achats : La gestion des sous-traitants en cybersécurité est un basique. Pouvoir intégrer une partie cybersécurité dans tous les appels d’offre ou dans la sélection de toute nouvelle solution ayant un impact numérique doit devenir une norme. Dans ce contexte, bénéficier par la direction des achats d’une demande de vérification cybersécurité au même titre qu’il est fait sur le RGPD va être très utile
Le Directeur Commercial : Il est désormais fréquent pour les organisations faisant du commerce avec d’autres organisations B2B que les équipes de réponses soient sollicités pour des questionnaires cybersécurités et / ou des Plans d’Assurance Sécurité, les fameux PAS. Dans ce cas là être identifié vous facilitera l’accès aux requêtes des prospects et clients.
2. Faire des visites de site
Il est fréquent d’entendre que les équipes cybersécurités empêchent les équipes de travailler comme il se doit sur le terrain. L’idée n’est pas de lancer un débat sur le sujet, néanmoins pour limiter cet argument, les visites de sites permettent déjà de pouvoir indiquer que l’on essaye de déployer la cybersécurité en tenant compte du terrain.
D’autre part, je crois personnellement que la cybersécurité doit être contextualisé aux métiers de l’entreprise. On ne doit pas mettre en place de la cybersécurité de la même façon avec la même forme en fonction des secteurs d’activités, banque, assurance, industrie, secteur public, collectivités locales, transports, … etc. Et l’un des moyens de contextualiser est de se rendre sur place et comprendre le métier de l’entreprise.
Enfin, il est fréquent de découvrir des usages locaux surprenants, voir dangereux au premier abord. Ces visites de site permettent de comprendre l’origine de ces comportements, est-ce lié à une mauvaise culture, un problème informatique, une obligation contractuelle client. Les découvertes sur site sont souvent sources de problèmes cybersécurité à résoudre.
3. Identifier les applications critiques
Connaitre la liste des applications critiques est également un basique, qui permet un déploiement cybersécurité focalisé en priorité sur ces applications. Il permet de comprendre l’organisation numérique de l’entreprise, et cette liste est très utile lors d’incidents cybersécurité.
Malheureusement, c’est assez rare que cette liste existe ou qu’elle soit à jour. Cela va un peu au delà de la partie cybersécurité, mais prendre l’initiative de lister ces applications critiques peut être un bon moyen de connaitre rapidement les personnes en charge de leur pilotage dans les équipes numériques .
Classer ces applications en fonction du domaine peut se révéler être un gain quand il faudra lancer des actions spécifiques sur un domaine particulier ou quand il faudra faire du reporting. Je conseille ainsi d’utiliser soit les domaines déjà définis par la DSI soit de prendre les classique de type Finance, RH, DSI, Marketing, Production, etc ….
4. Être impliqué sur chaque nouveau projet numérique
En cybersécurité, l’intégration de la sécurité dans les projets est un classique. Pouvoir s’assurer que chaque nouveau projet numérique soit accompagné d’un point de vue cybersécurité permet de montrer rapidement que l’organisation ne construit plus une dette en matière de cybersécurité.
Identifier les nouveaux projets numériques est aussi l’occasion de voir comment les projets sont construits d’un point de vue financier, et identifier si et comment les dépenses cybersécurités sont provisionnées sur les budgets des projets. Pour ma part, je regarde s’il existe spécifiquement un pourcentage, même faible pour la cybersécurité.
C’est aussi l’occasion d’identifier les gros projets stratégiques. Je connais de nombreux RSSI, et cela a été mon cas également, qui ont vécu le moment suivant :
En pleine réunion de direction, on m’a demandé :
“La cybersécurité suit-elle ce projet stratégique ?”
Ma réponse :
“Ah je ne savais pas que ce projet existait.”
C’est plutôt dérangeant et source de mauvais moment à passer.
5. Lister les sous-traitants connectés et avec données à caractère sensible
Constituer une liste des sous-traitants est pour moi une approche intéressante pour s’assurer que la cybersécurité accompagne bien les sujets des sous-traitants. D’expérience, les sous-traitants constituent de plus en plus un des principaux fournisseurs d’incidents en matière de cybersécurité.
Dans le cas où la cybersécurité n’est pas vraiment déployée, c’est aussi un bon moyen d’identifier le nombre de sous-traitants non suivi d’un point de vue cybersécurité. Lors de votre listing des sous-traitants et applications, je vous recommande d’ajouter une colonne afin de renseigner si l’élément est critique ou non. Cela permet de mettre en valeur le problème associé et de pouvoir répartir ses efforts au bon endroit.
Il est important de ne pas mettre uniquement les fournisseurs de la DSI. En effet de nombreux autres département utilisent des solutions numériques, souvent non maitrisée par la DSI, la fameuse zone grise. D’expérience, les équipes marketing et la production sont des sources importantes à bien inclure dans ce recensement.
6. Organiser une sensibilisation de la DSI
La sensibilisation à la cybersécurité fait également parti des basiques. Monter une première sensibilisation et l’exécuter permet de s’assurer que le sujet sensibilisation est également bien pris en compte.
La cible DSI n’est pas anodine. Le nombre de personnes ayant des comptes d’administrations ou des comptes à privilège est naturellement plus important. C’est donc un département à sensibiliser en priorité.
Enfin, les campagnes de phishing que j’ai pu réaliser montrent régulièrement que les équipes dans les DSI ont tendance à plus souvent cliquer et communiquer des informations sensibles.
7. Identifier les obligations cybersécurité majeures
Les obligations cybersécurités peuvent venir de lois, de réglementations sectorielles mais aussi redescendre d’obligation contractuelles. Ces obligations contractuelles sont issues de clients, de partenaires mais aussi parfois de fournisseur de solutions numériques.
Ces obligations font partie des raisons principales pour lesquelles une organisation décide d’affecter concrètement du budget pour la cybersécurité. Ce n’est évidemment pas systématique mais bien fréquent.
Identifier et lister les obligations en matière de cybersécurité va permettre de montrer rapidement à son management où se situe l’organisation sur le sujet. Vous pouvez également estimer en face de chaque ligne quel est l’impact sur l’entreprise, que ce soit en termes d’image et surtout financier. Votre management sera sensible à cette notion.
8. Réaliser un cyber tech landscape
Comprendre son environnement est un indispensable pour déployer la cybersécurité. Pour moi les outils sont indispensables mais pas forcement le plus importants, ils font partie des éléments à connaitre, et à lister.
La liste des solutions permet également d’identifier et rencontrer les éditeurs de sécurité travaillant déjà pour l’organisation. Je me suis aperçu que les éditeurs de sécurité avaient beaucoup d’information sur l’interne, cela peut s’avérer très utile.
Cette cyber tech landscape peut être également très utile lorsque des demandes de questionnaires ou de formulaires de CAC, clients, assurances sont formulées. Cela vous fera gagner beaucoup de temps dans le futur.
9. Produire un dashboard cybersécurité
Rendre des comptes sur le niveau de la cybersécurité et son évolution est une action fréquente qui fait partie des missions du RSSI. Produire un dashboard cybersécurité, même avec peu de données, est utile pour rendre la cybersécurité concrète auprès des personnes clés de l’organisation.
Un des moyens de produire rapidement un dashboard cybersécurité est, dans l’environnement Microsoft, de créer des listes de suivi sur les thématiques abordés dans cet article.
Vous pouvez ensuite monter un tableau PowerBI en vous appuyant sur ces listes. Vous gagnerez beaucoup de temps.
Différentier la cybersécurité organisationnelle et technique est un bon moyen de structurer son dashboard cybersécurité. Il permet rapidement de définir le périmètre d’action du RSSI et son équipe. Il aide également à mettre en lumière les limites cyber rencontrées en fonction des moyens actuels.
Ces 9 conseils/axes de travaux devraient vous aider à mieux appréhender une prise de poste en tant que RSSI. N’hésitez pas à commenter cet article afin de donner votre avis, je répondrais avec plaisir !
Vous avez un projet Cybersécurité ?
Prenez rendez-vous grâce au lien et échangeons sur vos sujets à venir