Voici les activités incontournables que le CISO doit mener lors de son entrée en fonction pour poser les fondations de sa réussite.
1. Rencontrer les vice-présidences d’affaires et comprendre les enjeux.
Le premier paradigme à casser est celui de croire que le CISO doit forcément être un expert technique. Néanmoins, il devra être suffisant compétent pour absorber les détails techniques que ne manqueront pas de lui donner son équipe.
En tant que gestionnaire responsable de la cybersécurité, il devra rencontrer tout d’abord le comité exécutif pour comprendre la vision de l’entreprise, les enjeux actuels et futurs.
Il est donc nécessaire de rencontrer les différents VP d’affaires, se faire présenter leur activité et comprendre leurs difficultés. Il est nécessaire de les écouter et prendre la liste des doléances relatives aux problèmes informatiques.
S’il existe, il est aussi utile de rencontrer le VP Gestion des Risques, pour se faire présenter le cadre de gestion des risques d’entreprise. On rencontrera également l’Audit Interne afin de prendre note des faiblesses identifiées ainsi que les Affaires Juridiques pour prendre connaissance des contraintes réglementaires.
Bien sûr, il est primordial de fixer une rencontre hebdomadaire avec le CIO pour le tenir au courant des activités et prendre son avis sur les priorités.
Enfin, des rencontres quotidiennes avec l’équipe sont nécessaires pour construire le relationnel et prendre en compte leur propre perception de la situation.
2. Rencontrer les acteurs clés de l’informatique
En parallèle, le CISO doit rencontrer les gestionnaires informatiques clés avec lesquels il sera amené à interagir très fréquemment. Là aussi, il s’agit dans un premier temps d’écouter ces gestionnaires présenter leurs activités et leurs défis.
3.Faites-vous accompagner d’un coach exécutif en cybersécurité
La sécurité informatique n’est pas un domaine simple. Vous devez être certain de posséder toutes les cartes pour comprendre ce que vos équipes techniques expliquent et prendre des décisions éclairées. Il est facile de dépenser le budget au mauvais endroit ou de donner davantage d’écoute à un gestionnaire qui sait parler plus fort que les autres. Vous équiper d’un conseiller personnel attitré en cybersécurité, qui puisse challenger les idées, vous présenter les tendances de l'industrie ou tout simplement former ceux qui en ont besoin, peut être votre meilleur atout. Même pour les CISO expérimentés, il peut être utile d’avoir un conseiller de confiance qui vous remplace à certaines rencontres clés auxquelles vous ne pouvez pas assister.
4. Évaluer votre posture de cybersécurité
Recruter une société de conseil qui pourra donner un regard objectif et indépendant sur les risques informatiques. Il est toujours plus facile d’appuyer votre vision sur un rapport externe. Le diagnostic doit comprendre une évaluation des vulnérabilités et des risques d’affaires associés, ainsi qu’un plan d’action.
5. Mettre en œuvre et communiquer le programme stratégique de cybersécurité
Après discussion avec le CIO et le comité de gestion des risques, finaliser le programme, le planning et le financement. Assurez-vous d’identifier les « quick wins » qui vous permettront de montrer les progrès effectués aux côtés des indicateurs clés incontournables.
6. Mesurer et rapporter
La fonction de responsable de cybersécurité est à double tranchant, parce qu’elle amène souvent de mauvaises nouvelles, de nouvelles failles de sécurité sur la table et qu’elle est souvent en conflit d’intérêts. Idéalement rattachée au comité de gestion des risques, elle dépend le plus souvent de la Direction TI dont elle identifie les faiblesses. Il peut arriver des situations où le CIO ne voudra pas mettre en exergue certaines difficultés. C’est également à ce moment qu’il faut vous faire épauler et trouver le bon équilibre qui rend tout le monde gagnant-gagnant. Le plus simple est de convenir d’une grille de risques dés le départ et d’un système d’escalade par seuil de gravité. Rien n’est plus désagréable que d’escalader à tors et à travers des vulnérabilités mal comprises ou dont l’impact est très exagéré. À l’inverse, certains risques liés à la malveillance interne ou externe méritent d’être escaladés rapidement aux bonnes personnes. Les fondements de ces situations doivent être élaborés avant que la situation ne se produise, pour que le système soit fonctionnel.
Le CISO veillera donc à mettre rapidement en place le système de gestion des incidents. Il devrait toujours avoir sous la main une série de bonnes nouvelles permettant de démontrer le travail effectué dans la réduction du niveau de risque. Il devrait être capable d’argumenter le budget en connaissant les initiatives sur lesquels il faut investir davantage. Le CISO doit être capable de mettre en perspective le coût de la mesure par rapport au coût du risqué s’il survient. Il doit être suffisamment ambitieux pour vouloir changer les choses tout en respectant la culture de l’entreprise et le momentum.
7. Créer des alliances externes
Le CISO doit se concentrer sur son relationnel avec le CIO et les entités de gestion de risques, mais également entretenir des liens avec des entités indépendantes chez qui il pourra chercher conseil (organismes de cybersécurité, GRC, conseillers de confiance).