Vu la recrudescence des cybermenaces, la fonction de CISO a le vent en poupe. Mais de quoi s’occupe précisément le Chief Information Security Officer ? À quoi ressemble la journée typique du manager chargé de protéger les données et systèmes informatiques d’une entreprise ? Les réponses de Tim Groenwals, CISO à la SNCB.
8 heures Networking
Dans le train, je téléphone à des CISO d’autres entreprises, que j’ai généralement rencontrés dans le cadre de réunions professionnelles. J’entretiens mon réseau et je discute des défis auxquels ils sont confrontés, des projets en cours chez eux, de la justification des budgets, de notre stratégie, et souvent de cybermenaces récentes. J’accorde une grande importance à ces réseaux : personne n’est parfait, nous pouvons tous nous inspirer des meilleures pratiques en cours chez des collègues.
9 heures-11 heures Réunion sur des projets
Le matin, je participe à des réunions sur des projets, et je rencontre parfois des parties externes. Je suis responsable de la prévention de la cybercriminalité sur nos sites Web, applications et systèmes. Cela se traduit par quatre domaines de travail : la sécurité informatique, la gestion du risque informatique, la gestion de la continuité du service informatique et la protection des données.
Je suis entré à la SNCB fin 2013, après que des données des clients se sont retrouvées sur Internet. Depuis, ces quatre domaines sont pris très au sérieux. Je cherche également à intégrer les quatre aspects sous ma responsabilité dans tous les projets pertinents, au stade le plus précoce possible. Je participe par exemple à un projet visant à proposer le WiFi dans les gares. La sécurité et la protection de la vie privée en constituent des éléments primordiaux. Pendant les réunions, j’essaie d’identifier les risques, je réclame de l’attention pour la vie privée des clients et j’analyse la continuité des systèmes informatiques. Après la réunion d’équipe, j’ai souvent des réunions individuelles avec des participants au projet.
11 heures-12 heures État des lieux avec l’équipe du CIO
Je fais un état des lieux avec le CIO et son équipe presque chaque jour. Nous y discutons de la stratégie informatique générale, des budgets et des projets. On écoute mon opinion sur la sécurité. La situation générale des risques opérationnels est également abordée. J’analyse les risques et leur impact possible, le CIO décide des actions que nous entreprenons.
12 heures Lunch
Le midi, je me contente généralement d’un sandwich avec mon équipe. Celle-ci se compose de six collaborateurs fixes, et de plusieurs consultants qui apportent des compétences spécialisées que nous ne possédons pas en interne.
14 heures Réunion d’équipe et réunions avec des collaborateurs
Je discute des projets avec mon équipe. Nous définissons ensemble l’approche à adopter. Je parcours les principaux aspects des projets. Nous faisons un bilan, nous nous répartissons les tâches, nous déterminons qui prendra contact avec qui et nous fixons les échéances. Ensuite, j’ai une série de réunions individuelles avec des membres de l’équipe sur des projets. Lors de ces réunions, nous travaillons de manière plus concrète, pratique, nous entrons davantage dans le détail. Je consacre également beaucoup de temps au coaching individuel. L’aspect humain est très important à mes yeux.
16 heures Contacts informels avec la C-suite
En fin de la journée, il y a généralement un peu de temps dans les agendas pour communiquer de manière moins formelle avec les collègues managers. Je me penche régulièrement avec le CEO et le CFO sur le risque et la sécurité, parfois aussi avec la direction des ventes ou du marketing.
Dans ces discussions, je me sens évangéliste de la protection informatique. Je défends la valeur ajoutée de la sécurité et de la protection de vie privée, j’insiste sur les investissements nécessaires, je demande à être impliqué dans les projets à une phase très précoce.
Je transmets également des informations sur les budgets et les meilleures pratiques d’entreprises paires et je tente de faire de la sécurité et de la protection de la vie privée un réflexe chez les autres membres de la direction.
Après 18 heures
Bien entendu, les cybercriminels ne vont pas dormir à 18 heures. Je me tiens toujours disponible en cas d’incident. Cela peut aller du défacement d’un site web à un incident de protection de la vie privée en passant par une intrusion dans un système informatique. En cas de sinistre, j’ai surtout un rôle de coordination. Je tente de limiter les dégâts, et je prends contact avec les parties internes et externes pertinentes. Je crois beaucoup dans une communication ouverte sur les incidents : c’est la meilleure façon d’en tirer des enseignements.
1. La sécurité informatique doit être un enabler. Le CISO doit attirer l’attention sur la sécurité, mais sans se profiler comme un obstacle. Travaillez comme un évangéliste, et rendez les projets réalisables en apportant une valeur ajoutée.
2. La sécurité dépasse l’informatique. Pour le CISO, le savoir-faire technologique ne suffit pas. Vous devez traduire vos connaissances techniques en notions utilisables par les autres départements. Les métaphores et autres images sont souvent des outils très utiles.
3. Soyez sur vos gardes. Soyez sur vos gardes, mais veillez à ce que vos clients et collaborateurs ne perdent pas le sommeil. La sécurité est la valeur ajoutée qu’apporte votre fonction au reste de l’entreprise et aux clients.
4. Développez la notion de responsabilité. Une maîtrise parfaite des outils techniques n’est pas une garantie de sécurité pour l’entreprise. Le maillon faible est presque toujours l’aspect comportemental. Il est donc crucial de faire de la prévention. Le CISO y joue un rôle pédagogique.
5. Entretenez des relations avec vos collègues. Établissez un lien de confiance avec des collègues d’autres secteurs. N’essayez pas de réinventer l’eau chaude : posez des questions, inspirez-vous des meilleures pratiques. Osez faire confiance à des parties externes et à leurs connaissances spécialisées.
6. Suivez une approche basée sur les risques. Soyez conscient que des incidents auront lieu. Tout devient de plus en plus complexe, et une petite erreur est rapidement commise. Il n’est plus possible de rendre tous les systèmes étanches. Évaluez les risques, et concentrez-vous sur ceux qui ont l’impact potentiel le plus important.
7. Connaissez
vos adversaires. Ne
sous-estimez pas vos adversaires. Les incidents ne sont plus causés par des
étudiants qui jouent aux pirates le week-end. Aujourd’hui, la cybercriminalité
est l’oeuvre d’organisations criminelles structurées, voire de concurrents ou
d’États étrangers.