De nombreuses entreprises, en particulier les PME et les ETI, sont fortement exposées et vulnérables aux menaces de sécurité informatique. Pour gérer efficacement et durablement le risque cyber, les organisations ont besoin d'un expert dans le domaine de la sécurité et de l’informatique : le Responsable de la Sécurité des Systèmes d'Information (RSSI) ou Chief information Security Officer (CISO) en anglais. Ce professionnel doit comprendre les enjeux métiers, afin de piloter les initiatives essentielles et aligner les activités sur les besoins urgents de l'entreprise.

 

Une accélération du risque cyber

Cybersécurité : quels sont les enjeux pour les entreprises ?

  • Professionnalisation grandissante des cybercriminels
  • Enjeu financier généré par l’utilisation malveillante des données
  • Digitalisation de nombreux processus, qui comportent des données sensibles
  • Manque de connaissances sur les mesures et moyens à déployer pour contrer ces acteurs malveillants.

Ce risque est d’autant plus fort avec la digitalisation accélérée de ces dernières années. Celle-ci a bien entendu permis aux entreprises de gagner de nouveaux marchés, de se rendre plus flexibles par rapport à l’ensemble des besoins de ces parties prenantes.  Mais, dans le même temps, cette transformation numérique a fortement accru leur surface d’exposition à la cybercriminalité. Ainsi, la proportion d’entreprises attaquées aussi bien en France qu’à l’international ne cesse d’augmenter d’année en année et, les conséquences de ces attaques sont de plus en plus en significatives.

Par ailleurs, la mise en application de nouveaux règlements, dont en premier lieu le RGPD (Règlement Général sur la Protection des Données), a contribué à accroitre les impacts d’un incident de cybersécurité. En cas de manquement au RGPD, l’entreprise peut être condamnée à une amende jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. En complément, ces problèmes peuvent faire courir un risque réputationnel à l’entreprise s’ils sont relayés par les médias ou les réseaux sociaux.

 

Sécuriser son système d’information, une priorité stratégique

Selon le rapport Hiscox / Forrester Consulting sur les risques cyber 2021, une entreprise sur six déclare que sa survie a été menacée après avoir subi une attaque cyber. Dans ce contexte, la cybersécurité est devenue un enjeu majeur. De nombreuses entreprises placent dorénavant ce sujet comme une priorité. Cela se traduit par une hausse des investissements, notamment dans des outils de renforcement de la sécurité. Mais une problématique de taille demeure pour de nombreuses entreprises : le management la sécurité. Le RSSI devient ainsi une ressource convoitée. Malheureusement face une forte demande, et sur un secteur longtemps non privilégié, ce type de ressource est rare.

exposition-au-risque-cyber.png

 

RSSI : quels profils et compétences ?

Le RSSI doit mêler compétences techniques et métier :

  • Il doit comprendre l’environnement métier, ses enjeux et ses risques, ainsi que l’organisation informatique de l’entreprise, afin de définir des objectifs de sécurité et les mesures associées.
  • Il doit également disposer des bases solides en matière de gouvernance et d’organisation, afin d’implémenter de manière pérenne la sécurité au sein de l’entreprise.
  • Il doit comprendre l’environnement juridique et ses impacts en termes de sécurité (ex : RGPD). Il doit enfin être bon communiquant et savoir parler de sécurité aussi bien à des dirigeants, des salariés et des techniciens.

Ainsi, de nombreux acteurs économiques éprouvent de grandes difficultés à recruter ou pérenniser leurs ressources en charge de gérer leur sécurité. Pour d’autres entreprises, leur taille et leurs besoins en sécurité, ne justifient pas le recrutement d’une ressource à plein temps. Face à ces problématiques, l’externalisation de la fonction de RSSI devient une option pertinente.

 

Externaliser la fonction de RSSI, une alternative pour réponse à l’urgence

RSSI externalisé : quels avantages pour les entreprises ?

  • Monter rapidement en compétences sur le sujet, dans un contexte de fortes tensions,
  • S’appuyer sur des ressources expérimentées spécialistes des différentes thématiques rattachées à la sécurité.
  • Maintenir les équipes centrées sur les activités cœur de métier, à plus forte valeur ajoutée
  • Meilleure gestion du couple risques versus investissements/coûts : l’entreprise mobilise un budget sur un socle d’intervention défini, qui répond à ses besoins
  • Adaptation de la mission à l'ampleur et au rythme nécessaires pour atteindre vos objectifs de sécurité
  • Expert que vous pouvez solliciter en cas d’urgence « security on demand ».

Ce dispositif externalisé peut enfin être envisagé comme une situation transitoire, intégrant l’implication et la montée en compétences progressives de ressources internes afin que l’entreprise atteigne à moyen terme une plus grande autonomie sur la maîtrise de sa sécurité.

Ainsi face à un besoin urgent et un manque de solution immédiate, l’externalisation de la sécurité est une alternative que de nombreuses entreprises / organisations peuvent envisager afin de maîtriser le risque cyber.

 

RSM peut vous accompagner dans la gouvernance de votre risque cyber en tant que RSSI pour :

  • L’évaluation de votre risque (dont les risques IT) au regard de votre exposition et de votre maturité.
  • La formalisation de votre feuille de route d’optimisation de la cybersécurité
  • Le suivi et contrôle des actions de remédiation et de votre niveau de sécurité

 

Contact : Antoine Baranger, Manager ITRA

A lire également