Qu’il s’agisse d’anticiper de nouvelles menaces ou d’équilibrer la gestion des risques et l’habilitation des entreprises, les RSSI sont confrontés à une série de défis complexes qui nécessitent une réflexion et une exécution stratégique continues.
Comme le savent les RSSI, un programme de sécurité efficace ne peut pas être statique. Elle doit plutôt s’adapter à l’évolution du paysage des menaces et à un environnement commercial en constante évolution.
Pour s’adapter et s’améliorer, les RSSI doivent évaluer en permanence leur programme existant. Cela commence par poser des questions difficiles sur leurs performances, leurs investissements et leurs stratégies.
Ici, les responsables de la sécurité partagent 15 questions que chaque RSSI devrait poser pour garantir que ses programmes peuvent répondre aux demandes actuelles et aux besoins futurs.
1. Quel problème ou incident mon programme de sécurité a-t-il résolu et qui aurait autrement entravé l’activité ?
Roland Palmer, RSSI et vice-président de la sécurité de la société technologique JumpCloud, affirme se poser régulièrement cette question car cela l’oblige à identifier et à communiquer quels efforts de sécurité évitent un impact négatif sur l’entreprise.
« Il s’agit pour nous d’essayer de démontrer le retour sur investissement et de l’articuler », dit-il. « Cela définit la façon dont je considère mon rôle et les domaines dans lesquels je devrais cibler le blitz médiatique (pour informer) l’entreprise sur ce que nous faisons et qui démontre la valeur de la sécurité. »
2. Comment protégeons-nous les processus commerciaux les plus importants de notre organisation ?
Cette question pousse les RSSI à mettre la résilience de l’entreprise au premier plan, une priorité qui permet de garantir que les programmes de sécurité sont alignés sur les besoins de l’entreprise.
« De nombreuses organisations adoptent encore une approche large et défensive plutôt que de concentrer leur cyberstratégie sur les processus critiques. Dans un environnement de menace basé sur l’IA, le défi consiste moins à identifier chaque vulnérabilité qu’à protéger les processus critiques et à garantir la résilience en cas d’incidents. Ceci est également de plus en plus renforcé par la réglementation », explique Richard Watson, responsable mondial de la cybersécurité chez la société de services professionnels EY, en citant par exemple la DORA de l’UE.
3. Connaissons-nous l’impact réel sur l’entreprise de la disponibilité des services critiques ?
En plus de savoir quels processus sont critiques pour l’organisation, les RSSI doivent comprendre le véritable impact d’une attaque réussie sur ces processus. Ces connaissances aident à aligner leur stratégie de sécurité et à exprimer la valeur de leurs investissements en matière de sécurité aux collègues de la haute direction.
« Comprendre quels systèmes génèrent des revenus, soutiennent les clients, remplissent les obligations réglementaires ou permettent des opérations critiques aide les organisations à prioriser les investissements en matière de sécurité là où ils sont le plus importants », explique Dale Hoak, RSSI de la société de logiciels RegScale. « Les analyses d’impact sur les entreprises doivent être révisées régulièrement et mises à jour chaque fois que des changements organisationnels importants se produisent. »
De même, Sean Murphy, vice-président senior et RSSI chez BECU, la cinquième plus grande coopérative de crédit du pays, demande : « Quels sont les éléments de sécurité qui vont arrêter l’entreprise ? » Il affirme que cette question aide la sécurité à aligner et à prioriser son travail sur les risques commerciaux, ce qui garantit la fiabilité de l’entreprise et non seulement la résilience informatique.
4. Si nous étions attaqués demain, à quelle vitesse le saurions-nous ?
Le temps moyen de détection, ainsi que le temps moyen de réponse et le temps moyen de confinement, restent des paramètres essentiels pour mesurer l’efficacité des programmes de sécurité, car un faible MTTD est généralement corrélé à un rayon d’explosion plus petit et à un impact moindre sur l’entreprise.
C’est ce qui rend cette question cruciale, dit Hoak.
« La réalité est que chaque organisation doit partir du principe qu’un attaquant finira par accéder à un endroit quelconque de l’environnement. La question la plus importante est de savoir à quelle vitesse les équipes de sécurité peuvent détecter une activité malveillante, en comprendre la portée et y répondre efficacement », dit-il. « Cette question doit être évaluée en permanence au moyen d’une surveillance, d’exercices sur table, d’exercices en équipe violette et de tests de réponse aux incidents. »
5. Fonctionnons-nous à la vitesse d’une machine ou à la vitesse d’un humain ?
Selon Watson, les RSSI devraient s’interroger sur la vitesse globale de leur service et si elle est aussi rapide que nécessaire.
« Les modèles opérationnels, les processus de gouvernance et les contrôles cyber et informatiques d’aujourd’hui ont été conçus pour un paysage de menaces plus lent. Alors que l’IA accélère à la fois les capacités d’attaque et de défense, les organisations doivent évaluer si elles suivent le rythme ou si des lacunes apparaissent à mesure que les acteurs de la menace utilisent de plus en plus l’automatisation et l’IA avancées », dit-il.
6. Que ne savons-nous pas ?
C’est une question que Murphy pose régulièrement à son équipe de sécurité pour les aider à se préparer à toute éventualité.
« Nous devons réfléchir aux domaines dans lesquels nous n’avons pas de visibilité, aux angles morts, à ce que nous ne savons pas mais que nous devons savoir, qu’il s’agisse des personnes, des processus ou de la technologie », dit-il. « C’est une conversation inconfortable, mais nous devons réfléchir aux éventuelles lacunes. Nous devons réfléchir aux domaines dans lesquels nous pourrions avoir une nouvelle visibilité. »
Murphy et son équipe utilisent les renseignements sur les menaces et les informations provenant de collègues, de groupes de pairs, d’associations industrielles et de leurs propres systèmes de sécurité « pour comprendre ce que nous voyons. Il s’agit d’une grande ingestion d’informations disponibles. Et il s’agit d’être curieux et critique, de remettre en question et de ne pas supposer. J’essaie de voir autour des coins. »
7. Quels tiers pourraient avoir un impact significatif sur nos opérations en cas de compromission ?
« Des attaques récentes ont démontré que la compromission d’un fournisseur de confiance peut créer des risques en aval pour des milliers d’organisations », explique Hoak. « De nombreuses entreprises ont une meilleure visibilité sur leur propre environnement que sur les organisations dont elles dépendent. »
Les RSSI doivent donc se poser cette question en permanence, ajoute-t-il, « car les relations avec les fournisseurs, les dépendances logicielles et les paysages de menaces évoluent constamment ».
8. Dans quelle mesure notre programme IAM est-il fonctionnel pour les identités humaines et non humaines ?
La gestion des identités et des accès (IAM) est devenue un élément central des programmes de sécurité modernes. Il est donc essentiel, selon Palmer, que les RSSI sachent exactement combien d’identités humaines et non humaines opèrent au sein de leur organisation et si leur accès est limité aux cas d’utilisation appropriés.
« C’est devenu une question quotidienne. J’irais plus loin et je dirais que c’est désormais une question toutes les heures », déclare Palmer, soulignant que la prolifération de l’utilisation de l’IA, de l’IA fantôme et des agents d’IA signifie que le nombre d’identités et leurs droits d’accès changent constamment.
9. Comment sécurisons-nous nos identités non humaines ?
Sur une autre note liée à l’IA, Watson affirme que les RSSI du monde entier doivent se demander s’ils disposent d’une sécurité adéquate pour leurs actifs non humains.
« Les identités non humaines constituent une frontière émergente du cyber-risque, et de nombreux outils traditionnels de gouvernance des identités n’ont pas encore évolué pour y répondre. À mesure que les organisations adoptent des processus plus automatisés et pilotés par des agents, la gestion des accès et des privilèges entre ces identités devient de plus en plus importante », dit-il.
10. Savons-nous où l’IA est utilisée, quelles données sont partagées et qui est responsable de ces décisions ?
Comme l’observe Doug Kersten, RSSI chez l’éditeur de logiciels Appfire : « De nombreux employés adoptent eux-mêmes des outils d’IA pour résoudre de véritables problèmes commerciaux avant même que la direction ne sache que ces outils existent, créant ainsi des risques de sécurité non identifiés. Cela crée le même type de problèmes de visibilité et de responsabilité que nous avons vus pendant des années avec le shadow IT ; (cela) se produit beaucoup plus rapidement. »
Pour s’assurer qu’ils peuvent répondre « oui » à ces questions, les RSSI ont besoin de processus de gouvernance qui suivent le rythme de l’évolution rapide de la technologie et qui impliquent les équipes juridiques, d’approvisionnement, des ressources humaines, d’ingénierie et commerciales ainsi que la sécurité, dit-il.
11. Mon programme de sécurité des applications est-il conçu pour un monde où tout le monde est codeur ?
L’IA a rendu le développement d’applications accessible à tous les membres de l’organisation. Les RSSI doivent donc se demander si leurs programmes de sécurité disposent des contrôles adaptés à cette nouvelle réalité.
« Les RSSI doivent trouver des garde-fous (pour l’organisation) pour effectuer le codage vibratoire de manière sécurisée, et ces garde-fous doivent correspondre à la vitesse du codage vibratoire », explique Nico Waisman, RSSI de la société de technologie de sécurité XBOW.
12. Sommes-nous prêts pour la surface d’attaque croissante créée par le vibe coding ?
De la même manière, Waisman affirme que lui et d’autres RSSI doivent se demander si leurs programmes de sécurité sont capables de protéger la surface d’attaque croissante et la dette technique que crée le codage vidéo.
« Si quelqu’un peut générer son propre produit, nous aurons des applications qui apparaîtront partout sur le réseau et dans l’environnement. Cela signifie que (l’organisation est probablement) génère une dette technique, car les gens aiment créer des logiciels mais personne n’aime les entretenir. Et si personne ne les maintient, alors il pourrait y avoir des vulnérabilités que personne ne surveille ou ne corrige. Il se peut que seule la sécurité s’en occupe », explique Waisman.
Pour éviter un tel scénario, les RSSI doivent faire preuve de diligence dans l’inventaire des actifs et l’attribution de la propriété à chaque application, explique-t-il.
13. Que faisons-nous pour nous préparer à un monde où les pirates informatiques ont Mythe ?
Claude Mythos est un modèle d’IA frontalier d’Anthropic qui peut trouver et exploiter de manière autonome les vulnérabilités logicielles. Entre les mains des pirates informatiques, cela réduirait encore considérablement la vitesse à laquelle les attaques peuvent être conçues et lancées.
« La vitesse et l’échelle sont différentes maintenant », explique Waisman. « Les modèles Anthropic et OpenAI ont ouvert la porte à une ampleur d’attaques que nous n’avons jamais vue auparavant. Les RSSI doivent donc réfléchir à la manière dont cela affectera leur posture de sécurité et à la manière dont ils se défendront contre les attaques à mesure que l’ampleur et la vitesse changent encore plus. »
14. Suis-je suffisamment confiant pour partager notre posture de sécurité en temps réel si un client le demande ?
Palmer de JumpCloud met lui-même et son équipe de sécurité à l’épreuve en lui demandant régulièrement s’il serait à l’aise de partager un instantané en temps réel de son programme de sécurité.
« Suis-je à l’aise avec notre gestion des correctifs, notre gestion des vulnérabilités et avec le fait que nos clients voient ces statistiques ? Suis-je à l’aise avec les clients qui regardent derrière le rideau ? » demande-t-il.
Palmer affirme que de telles questions l’aident à évaluer si son programme de sécurité est là où il devrait être. Il dit qu’il peut répondre « oui » à ces questions la plupart du temps, mais il admet que parfois il répond « non ». Et même si un « non » est attendu de temps en temps, Palmer dit que s’il y en a deux ou plus par trimestre, il sait qu’il doit se concentrer sur la correction des efforts de l’équipe de sécurité pour le ramener à des réponses plus affirmatives.
15. Garantissons-nous les affaires que nous avons aujourd’hui comme celles que nous aurons dans un an ?
Compte tenu de la rapidité des progrès technologiques, de l’évolution du paysage des menaces et de la stratégie commerciale, Hoak de RegScale sait qu’il doit avoir les yeux rivés sur l’horizon et un plan pour y faire face de front.
« Les programmes de sécurité sont souvent à la traîne des initiatives de croissance et de transformation des entreprises. Les organisations adoptent rapidement l’IA, modernisent leurs applications, étendent leurs environnements cloud et intègrent de nouveaux services tiers. Si les stratégies de sécurité se concentrent uniquement sur les risques actuels, elles deviennent rapidement obsolètes », explique-t-il.
Il se demande donc activement s’il est prêt pour l’avenir, notant que « cette question devrait être réexaminée chaque fois que des plans d’affaires stratégiques, des acquisitions, des initiatives technologiques majeures ou de nouvelles opportunités de marché émergent ».
