RSSI : Faire comprendre le risque cyber !

Alors, comment faire en sorte que les dirigeants soient au courant des menaces pesant sur leur entreprise ? Riaz Lakhani, CISO chez Barracuda Networks évoque ainsi trois réflexions à mener pour faire comprendre le cyber risque au sein de l’entreprise « Les RSSI doivent être des passeurs d’informations. Ils doivent être capables de sensibiliser les personnes à tous les niveaux de l’entreprise, de les aider à comprendre et à adopter des politiques de sécurité, des réponses aux incidents, etc. Le temps passé à écouter et à apprendre de ses principales parties prenantes est l’un des meilleurs investissements que l’on puisse faire ».

Le RSSI en action

Voici les trois profils de collaborateurs avec qui chaque RSSI devrait discuter des sujets majeurs.

• Les collègues IT (ingénieurs, développeurs, chercheurs en sécurité)

Dans le cadre d’une astreinte, ce sont les personnes à appeler à 2 heures du matin pour une demande urgente. Il est impératif d’établir des relations solides et de comprendre leur point de vue et perception de la sécurité.  

• Les cadres supérieurs

La programmation de réunions régulières avec les responsables des principaux services liés à des risques critiques (service ingénierie, finance et légal) permettront d’examiner chaque situation. Elles contribueront à savoir comment évolue le paysage des menaces et de la sécurité, et ce que cela signifie pour l’entreprise, ce qu’il faut mettre en place. Ainsi, les actions à suivre pour pallier les risques encourus seront plus claires, par exemple le respect des règles de conformité. 

• Les dirigeants de l’entreprise

Chaque conseil d’administration est différent. Il faut donc apporter le plus de connaissances possibles aux personnes présentes et s’assurer que le discours et les concepts présentés soient compréhensibles. Il faut capter leur intérêt et leur attention.

« Les responsables de service et dirigeants doivent se poser cette question : Comment pouvons-nous être résilients dans un monde où les cyber-incidents sont fréquents, imprévisibles et potentiellement destructeurs ? » Eric Heddeland, VP EMEA Southern Region chez Barracuda. « La conversation doit porter sur les principaux risques que court l’entreprise – comme au travers de la supply chain par exemple – et sur les conséquences d’une attaque réussie. Le conseil d’administration veut savoir si son RSSI a réfléchi sur la manière de repousser les acteurs malveillants, mais aussi à la façon de réagir et de se remettre d’un incident, afin que les activités puissent se poursuivre et que l’entreprise ne soit pas menacée. »

Source The CISO script: How to talk to business leaders about security risk – Barracuda Networks

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Le métier du RSSI en 2023 décrypté !

Comment les RSSI peuvent-ils gagner la bataille contre les cybercriminels ?

Les RSSI sont de plus en plus à l’aise avec le risque