Vos 100 premiers jours en tant que CISO. Une approche pratique.

Date
08.09.2025

Vous attendiez ce jour avec impatience : votre premier jour en tant que nouveau Chief Information Security Officer (CISO) ! Vous êtes prêt à sauver le monde, et par « le monde », j’entends les actifs les plus critiques de votre entreprise. Vous avez repassé votre superbe cape de héros de la cybersécurité et vous êtes prêt à discuter de stratégie et d’alignement commercial. Mais par où commencer ?

Dans cet article, nous allons vous présenter les points clés à retenir pour vos 100 premiers jours afin de vous aider à vous imposer comme un leader en matière de sécurité, en mettant en place tous les éléments nécessaires pour faire de la sécurité et de la gestion des risques les moteurs de la réussite.

Prêt ? Faisons en sorte que la stratégie de sécurité soutienne les objectifs commerciaux.

Établir des relations solides

Au cours de vos premières semaines dans ce nouveau poste, concentrez-vous sur l’établissement de relations et la compréhension de l’organisation, de sa culture et de ses objectifs commerciaux. Votre influence au sein de l’organisation est directement liée à la solidité de vos relations et, peut-être plus important encore, au niveau de confiance que les gens vous accordent. Prenez l’initiative de libérer du temps dans votre emploi du temps pour des contacts formels et informels afin de vous aligner avec vos pairs de tous les départements. Au lieu de réagir à des incidents isolés, recherchez des schémas qui pourraient éclairer votre évaluation des risques. Comprenez l’environnement de conformité dans lequel vous allez travailler. Analysez attentivement les situations avant d’agir. Identifiez les indicateurs qui soutiennent les dirigeants d’entreprise. Complétez cela en partageant vos connaissances et votre expertise lorsque cela est approprié, en particulier si vous pouvez obtenir des résultats rapides, car cela vous aidera à consolider vos relations et vous fournira une plateforme pour le changement. N’oubliez pas que tout en faisant tout cela, votre priorité absolue est d’être vous-même. Cela renforce la confiance et agit comme un multiplicateur de force.

First Priority: Authentication

Il existe un débat important concernant l’équilibre entre l’informatique et la sécurité en matière de possession d’outils et de fonctions dans l’infrastructure. La plupart des violations se produisent à cause de la compromission des identifiants. Il ne devrait y avoir aucun débat sur le fait que la sécurité doit être fortement impliquée dans tout ce qui concerne l’authentification (AuthN) et l’autorisation (AuthZ). Collaborez avec vos équipes informatiques et DevOps afin d’acquérir une compréhension de base de la chaîne d’outils utilisée dans l’ensemble de l’organisation. Une fois que vous avez compris les outils et leurs fonctions fondamentales, effectuez un premier audit pour déterminer qui a accès à quoi et dressez un tableau de la situation en matière d’AuthN/AuthZ. Les points clés de ce processus sont les suivants :

  • Vérifiez la couverture de l’authentification multifactorielle (MFA).
  • Vérifiez la couverture de l’authentification unique (SSO).
  • Passez en revue les processus de gestion du cycle de vie des accès (intégration, départ, mutation).
  • Faire l’inventaire des secrets et de leurs processus de gestion.

Cela devrait vous permettre de bien comprendre le fonctionnement de l’AuthN/AuthZ, ainsi que les risques associés. Concentrez votre feuille de route sur ce sujet en réduisant les risques et en favorisant la collaboration.

Must have: Vulnerability Management et Patching

Outre l’utilisation abusive des identifiants, de nombreuses cyberattaques exploitent encore des vulnérabilités connues. Si les « vulnérabilités zero-day » font souvent la une des journaux, les entreprises du monde entier continuent d’être confrontées à des « vulnérabilités quotidiennes » plus courantes. Il s’agit de points faibles anciens et bien connus qui constituent la majeure partie de votre surface d’attaque et ont un impact direct sur votre posture de sécurité actuelle. En tant que CISO, vous devez avoir une solide compréhension des risques réels en matière de sécurité. Cette tâche est beaucoup plus complexe que le simple fait de tout analyser et de distribuer des rapports PDF à l’ensemble de l’organisation.

  • Quel est l’état des processus de correction de votre organisation ?
  • Quel est l’état des composants de votre infrastructure exposés à l’extérieur ?
  • Quelles parties de votre organisation sont exposées ?
  • Y a-t-il des signes de persistance ou de récurrence ?
  • Quels sont les 10, 25 ou 50 éléments qui, s’ils étaient résolus, réduiraient considérablement l’exposition ?

Une fois ces données en main, vous pouvez engager des conversations productives avec les parties prenantes de votre organisation. N’oubliez pas que votre rôle ici est celui d’un conservateur plutôt que d’un journaliste. Tout le monde sait probablement que des vulnérabilités existent. Votre travail consiste à sélectionner les vulnérabilités les plus critiques qui réduisent l’exposition et à fournir un contexte, afin d’aider les responsables de l’atténuation à faire leur travail aussi efficacement que possible.

Comprendre les données à l’échelle de l’organisation

Aujourd’hui, toutes les organisations s’articulent autour des données, ce qui en fait également une priorité pour vous. Lorsque vous développez votre réseau social au sein de votre nouvelle entreprise, veillez à ce que les données restent un sujet récurrent avec vos parties prenantes.

  • Avez-vous des exigences spécifiques en matière de conformité des données ?
  • Comment les données sont-elles stockées, traitées et transférées ?
  • Où se trouvent les données et qui ou quoi y a accès ?
  • Le processus de gestion du cycle de vie des données est-il simple ?

C’est également à ce stade que vous examinerez les activités de sauvegarde et de restauration et que vous effectuerez vos premières évaluations d’impact sur les données (protection).

Élaborer votre feuille de route stratégique en matière de sécurité

À mesure que vous acquérez une meilleure compréhension de la réalité dans laquelle vous travaillez, il est temps d’élaborer votre feuille de route pour aller de l’avant. Je vous recommande d’éviter les « grands projets ». Commencez plutôt par des changements et des améliorations itératifs à petite échelle, clairement axés sur la réduction des risques identifiés et la simplification du travail au sein de votre entreprise. Ce dernier aspect est souvent négligé, mais l’effet cumulatif de la simplification des « pratiques sécurisées » est considérable. De petites victoires dans les domaines des opérations de sécurité, de la réponse aux incidents et de la réduction des risques consolideront votre approche. Vous deviendrez un allié plutôt qu’un obstacle au progrès de votre équipe de sécurité.

Conclusion

Tout d’abord, je n’ai pas abordé la question de la conformité séparément, et ce de manière intentionnelle. En tant que nouveau CISO dans vos premiers jours de travail, vous dépendez des autres membres de votre organisation pour obtenir des informations sur des exigences en constante évolution. Cela fait de ce sujet une priorité dans vos discussions avec les différentes parties prenantes et contributeurs au cours de vos 100 premiers jours. Il est clair que la conformité, tant juridique que réglementaire, est aujourd’hui un élément majeur de tout programme de sécurité, mais n’oubliez pas que la conformité n’est pas synonyme de sécurité. À long terme, la conformité devrait devenir le résultat naturel d’un programme de sécurité ciblé et aligné sur les activités de l’entreprise.

Enfin, je tiens à souligner qu’il n’existe pas de liste de contrôle unique pour devenir un CISO performant, en particulier dans un délai limité de 100 jours. N’oubliez pas qu’il ne s’agit pas d’un effort à « grand effet ». Vous remporterez de grandes victoires en cours de route, mais votre succès dépendra de petits changements itératifs qui amélioreront les choses de manière mesurable. Ne vous découragez pas si les progrès semblent lents ! Au contraire, célébrez les petites victoires avec vos collègues et les autres équipes impliquées.

Soyez mieux préparé à assumer votre rôle de CISO

Notre programme complet de formation certifiée CISO vous offre un aperçu complet des aspects nécessaires pour avoir une vue d’ensemble des questions de cybersécurité dans votre organisation en tant que responsable de la sécurité des systèmes d’information.

Soyez au sommet de votre art et réservez dès maintenant la formation complète certifiée CISO !

Security Leader: Full CISO Certification Track 7 Modules

Date
08.09.2025

Dernières nouvelles

Formateur à l’honneur: Bert Verschelde (DPO au sein de DPG Media)
default-image
4 pièges à éviter dans votre parcours de conformité NIS2
default-image
Les principes fondamentaux du DPD
default-image
DPI et ISACA unissent leurs forces : renforcez votre parcours d’apprentissage en tant que Security Leader

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire