La digitalisation croissante de notre société a rapidement transformé le perceur de coffre-fort masqué, armé d’un pied-de-biche et d’un stéthoscope, en un cybercriminel sans pitié. Les entreprises sont de plus en plus souvent victimes de cyberattaques et les stratégies de sécurité de l’information traditionnelles ne suffisent plus. La demande d’une approche spécialisée à l’échelle de l’organisation a donc conduit à l’apparition d’un nouveau ‘C’ dans la liste des CEO, CIO, CFO et COO, à savoir le CISO.

Le CISO (Chief Information Security Officer ou, en français, responsable de la sécurité des systèmes d’information (RSSI)) joue un rôle crucial dans le développement et le déploiement de la cyberstratégie. Il définit le cadre de la sécurité de l’information, conseille la direction et veille à ce que cette politique soit correctement communiquée à tous les collaborateurs. En particulier dans les organisations où la digitalisation est (devenue) un processus important, la fonction du CISO devient d’autant plus importante.

Quelles caractéristiques devrait avoir ce nouveau venu ?

Tout d’abord, le CISO doit avoir une connaissance approfondie des évolutions organisationnelles, sociales et politiques et ce, tant à l’intérieur qu’à l’extérieur de l’organisation. Le CISO doit être capable d’identifier les risques susceptibles d’affecter la sécurité de l’information, tant de l’extérieur que de l’intérieur de l’entreprise, et doit donc posséder à la fois les connaissances techniques nécessaires et de bonnes capacités d’analyse.

Une stratégie a beau être bien fondée, sans l’adhésion de la haute direction, elle reste lettre morte. Il est essentiel que le CISO ‘vende’ sa cyberstratégie en interne à la direction. Sans une prise de conscience et un soutien moral et financier de la part de la direction, une politique de sécurité de l’information est vouée à l’échec. Le CISO doit donc avoir la diplomatie et les compétences en communication nécessaires pour convaincre la direction. La faculté de prodiguer des conseils adéquats et de fournir une présentation claire sont les principales caractéristiques d’un bon CISO.

La grande majorité des fuites en matière de cybersécurité sont dues à des erreurs humaines. Les nombreux incidents de phishing signalés quotidiennement au CCB (Centre pour la Cybersécurité Belgique) montrent clairement que la sensibilisation et la vigilance des simples travailleurs sont une priorité absolue pour le CISO. Là aussi, ce dernier doit disposer des qualités nécessaires pour convaincre les collègues, de manière non technique, de suivre et d’appliquer consciencieusement les cyberdirectives. La diplomatie, la connaissance de la nature humaine et la capacité à faire face à la résistance et à l’incompréhension revêtent également la plus haute importance ici.

Enfin, le CISO veillera à la mise en place des procédures nécessaires en vue non seulement de prévenir les catastrophes (proactivité), mais aussi de pouvoir mesurer et réparer les dommages causés après une cyberattaque (réactivité). Il doit donc être en mesure de garantir que l’entreprise, les travailleurs, les processus d’exploitation et les équipements de l’organisation puissent continuer à fonctionner normalement le plus rapidement possible.