La cybersécurité est devenue un enjeu crucial. Faute de la gérer de manière ultra professionnelle, une entreprise peut devenir la cible de pirates avec de lourdes conséquences sur ses finances et sa réputation. Au sommet de la hiérarchie se trouve le CISO et son importance est devenue telle qu’il a souvent pour interlocuteur direct la direction générale…
Une violation de données peut coûter des millions à une entreprise et même avoir un impact sur la fidélisation des clients. Les effets peuvent être ressentis durant des années. Afin de parer à de telles menaces, il est essentiel pour les entreprises d’une certaine taille d’embaucher un CISO.
Un CISO (Chief Information Security Officer) est un cadre de direction chargé de la cybersécurité soit la protection des données critiques.
Que fait un CISO ?
Un CISO passe sa semaine à interagir avec ses équipes du service informatique dont une est composée de professionnels de la sécurité.
Parmi les tâches qui lui incombent figurent :
- L’élaboration et le pilotage d’une stratégie de cybersécurité.
- La prévention et la détection des cyberattaques,
- La conception de programmes de formation à la sensibilisation à la sécurité car bien souvent, c’est suite à la négligence d’un simple employé que le système peut être mis en situation de risque.
- Le reporting à la direction des procédures de cybersécurité mises en place.
- L’évaluation du montant des investissements nécessaires en cybersécurité.
Le CISO élabore des recommandations fondées sur les dernières trouvailles en matière de cybersécurité – car de nouvelles vulnérabilités sont découvertes régulièrement – afin d’évaluer s’il faut mettre à niveau l’infrastructure et planifier de nouveaux outils de sécurité face aux nouvelles menaces.
Le CISO est également en relation régulière avec sa hiérarchie. Il doit régulièrement transmettre sa vision en matière de cybersécurité et veiller à ce que tous soient alignés sur ses objectifs.
Si un incident majeur devait arriver, le CISO participe à la conception et à la mise en œuvre du plan de reprise suite à une attaque qui aurait percé le système de défense en place. Il est habituellement chargé de la reprise de contrôle des opérations.
Toutes les entreprises ont-elles besoin d’un CISO ?
Tout dépend de la taille de l’entreprise. Ce qui est certain, c’est qu’il est incontournable de nos jours d’avoir au moins une personne affectée à la cybersécurité. Il est également possible pour une startup de sous-traiter ce rôle à une société externe. Toutefois, les grandes entreprises – et même certaines de taille moyenne – se doivent d’embaucher un CISO.
Quelles compétences un CISO doit-il posséder ?
Un CISO détient habituellement une ou plusieurs certifications IT liées à la cybersécurité. Il doit notamment maîtriser la sécurité du cloud et des applications de ce domaine. Il doit aussi connaître les risques associés aux technologies émergentes, comme les IA génératives.
Avant tout, le CISO se doit d’être familier des standards de sécurité majeurs édictés par les grands organismes de référence que sont la NIST (National Institute of Standards and Technology) et l’ISO (Organisation internationale de normalisation). Par ailleurs, des aptitudes au management, à la communication, à la négociation et au leadership sont bienvenues.
Quelle est la différence entre un DSI et un CISO ?
Dans la hiérarchie des responsabilités des technologies de l’information, le DSI (Directeur des Systèmes Informatique) se situe au plus haut niveau. Il définit la vision globale de la stratégie IT et supervise les principaux projets informatiques.
Le CISO, pour sa part, a une mission complémentaire. A lui de s’assurer que chaque initiative du DSI soit conforme aux impératifs de cybersécurité vitaux pour la bonne marche de l’entreprise.
En réalité, la fonction du CISO est devenue tellement cruciale qu’un grand nombre d’entreprises américaines de taille, notamment celles répertoriées comme les Fortune 500, placent aujourd’hui le CISO au même niveau que le DSI.
Évolution du rôle du CISO
Il se trouve que la cybersécurité est devenue une problématique cruciale et par conséquent, le CISO interagit de plus en plus, de façon directe, avec les hauts dirigeants : PDG, directeur financier, etc. Ceux-ci ont le désir d’être informés des risques potentiels et des stratégies mises en place pour y parer. Il ne s’agit plus, aux yeux de la direction d’une simple affaire informatique, mais d’une affaire liée à la survie même de l’entreprise elle-même.
Le conseil d’administration exige à présent d’être informé dans le détails des risques technologiques et des politiques de protection définies, dans les moindres détails de l’opération d’une société.
