« Les cyber-risques sont des risques business » : retour d’expérience d’Alain Sanchez, EMEA Field CISO chez Fortinet

Un avis d’expert d’Alain Sanchez, EMEA Field CISO chez Fortinet. 

Dans ce contexte, les dirigeants et les responsables de la sécurité de l’information (RSSI) doivent intégrer ce changement au plus haut niveau. La difficulté essentielle pour le RSSI devient alors de hiérarchiser ces risques au regard de leur impact réel. Cette approche requiert un niveau de compréhension de l’impact économique égal à celui de l’expertise technique. Ceci exige des RSSI d’intégrer désormais la dimension économique, exercice ne faisant pas partie des exigences traditionnelles du poste. Cela nécessite de se rapprocher des équipes qui portent la chaîne de valeur, au cœur de l’activité principale. Nouveau, mais combien formateur et riche d’opportunités de carrière, au sein des opérations et des filiales.

Classer les cyber-risques

C’est cette versatilité dans l’approche des problèmes, cette nécessité de sortir de sa tour d’ivoire qui fait du RSSI qui réussit cette mutation culturelle, un candidat sans égal pour des postes de dirigeant. L’autre défi consiste à regarder à l’extérieur, là où les incertitudes macro-économiques, les bouleversements géopolitiques viennent remodeler la stratégie. C’est parmi ces forces extérieures que le cadre légal inscrit ses exigences. Ces mêmes lois et réglementations qui protègent les libertés et les données personnelles, mais également la propriété intellectuelle, constituent autant d’occasions d’ajouter la corde légale à l’arc des compétences du RSSI. Une très efficace stratégie de carrière pour transformer la conformité en tremplin. Ainsi, les normes et leurs exigences sans cesse croissantes, d’abord perçues comme des contraintes rébarbatives, se révèlent d’inestimables atouts de carrière.

Ce rapport complexe entre le légal et la cybersécurité demeure un obstacle pour beaucoup de RSSI. Ils doivent aujourd’hui se poser une autre question : comment intégrer une approche juridique à ce qui était auparavant un pur terrain de jeux technologiques ? La solution, comme souvent, consiste à rassurer le conseil d’administration. Les conseils d’administration accordent plus facilement leur confiance à un responsable de la sécurité qui intègre le cadre juridique qu’à une personne inconsciente du risque pénal de la transformation numérique. La loi de l’Union européenne sur la résilience des opérations numériques (Digital Operations Resilience Act – DORA), a de ce point de vue fonctionné comme un accélérateur de prise de conscience.

Conçue au départ pour le système bancaire européen, sa philosophie et ses bonnes pratiques ont inspirés des RSSI bien au-delà du domaine financier, en particulier en faisant de l’évaluation du risque un élément central des décisions opérationnelles. Une architecture de réseau directement dérivée d’un calcul de risque elle-même issue d’un texte de loi ; une approche révolutionnaire pour un network manager, mais désormais un point de passage obligé pour un RSSI.

Atténuer les risques

Auparavant, la résilience était davantage un concept technique. Il s’agissait en substance de ressusciter les serveurs. Aujourd’hui, il s’agit d’une exigence légale documentée par un plan vérifiable. Nous sommes passés d’une série d’étapes techniques à un rétablissement contractuel des services critiques.  

Quatre types de considérations doivent inspirer ces plans d’un nouveau type :

• Toutes les contraintes n’ont pas la même importance : Un classement très délicat qui ne peut être établi que par un échange régulier entre le conseil d’administration et l’équipe opérationnelle. Ici le rôle du RSSI est crucial ; diplomate, traducteur et expert à la fois, il est la condition sine qua non d’un plan de risques au cœur de la stratégie de transformation. Sans ce consensus dirigeants-opérationnels, il n’y a pas de priorisation possible. Aussi difficile soit-il à établir, ce classement est l’exercice par excellence qui légitime le RSSI et son équipe aux yeux du comité exécutif.
• Stratégies de défense : Il s’agit là d’un réglage entre produits, processus et ressources humaines, les grands oubliés du digital. Après des années à faire de la technologie la reine du changement, les cyber-officiers ont fini par réaliser que dans transformation digitale, il y avait transformation, et combien ce maître-mot pouvait se retrouver lettre morte en l’absence d’un travail de pédagogie auprès des équipes. La prochaine ère de la sécurité passera par la convergence des cultures et non par l’addition des technologies.
• Le RSSI propose, le COMEX dispose : Offrir des scénarios au lieu d’imposer des outils. Lorsque le RSSI expose en des termes intelligibles un éventail de chemins en laissant la décision à son conseil d’administration, il gagne sur deux tableaux : le consensus au plus haut niveau et les moyens pour l’exécuter. A charge pour lui d’en documenter les principes fondateurs autant que les tableaux de bord de suivi. C’est au conseil d’administration qu’il revient de choisir la marche à suivre. Le RSSI devient un levier responsable d’une décision légitime, lui permettant au passage de ne plus être pointé du doigt comme le seul responsable lors de catastrophes.
• Leader oui, mais adoubé : Dans l’exercice de son pouvoir croissant, la ceinture de sécurité du RSSI doit s’arrimer directement au siège du président. Les conséquences d’un soutien flou ou dilué vont au-delà de l’inconfort du poste ; la pérennité du job, mais aussi la survie de l’entreprise elle-même. En 2024 et au-delà, soumettre la cybersécurité à toute autre considération que la stratégie de l’entreprise, constitue une erreur de gouvernance majeure.

La cybersécurité ne consiste pas seulement à éviter les icebergs. Il s’agit d’une approche holistique qui englobe toutes les dimensions de la stratégie d’entreprise en une plateforme de réflexion et d’exécution intégrée. Dans ce contexte, le nombre de technologies, la pléthore de fournisseurs et le jeu des pouvoirs sont autant d’obstacles que le talent politique autant que l’expertise technologique doivent désormais déjouer. Comprendre ou ne pas comprendre les règles de cette nouvelle ère, tel est le dilemme auquel font face les RSSI d’aujourd’hui pour rester ceux de demain.

Crédit Photo : Alain Sanchez, EMEA Field CISO Fortinet. 

Comme plus de 6000 professionnels du Channel, retrouvez chaque trimestre « ChannelBiz : Le Mag » : Le magazine des revendeurs, MSP et intégrateurs en France. 60 pages pour tout comprendre des enjeux de la distribution IT & Tech et des tendances du marché : IA, Cyber, Infra, Telco et AV.