.png)
Le manuel du RSSI : Pourquoi vous devez faire du risque de sécurité un critère de mesure pour l'entreprise
TheCISO's Playbook est une série en cours qui présente les points de vue stratégiques des principaux dirigeants du secteur de la cybersécurité. Ce billet présente Bryan Liebert, RSSI de terrain chez World Wide Technology (WWT).
Le rôle du RSSI évolue rapidement.
Les conseils d'administration veulent des preuves. Les assureurs veulent des données. Le charisme, l'instinct et l'expérience ne suffisent plus.
Il est temps que les RSSI associent leur sagesse et leur expérience à la science et aux faits. Ils doivent démontrer comment les décisions en matière de sécurité réduisent les risques, protègent les revenus et s'alignent sur les objectifs de l'entreprise à l'aide de données réelles.
La bonne nouvelle, c'est que vous n'êtes pas seul dans cette situation. Bryan Liebert, CISO de World Wide Technology (WWT) Field, affirme qu'il est possible d'obtenir des données sur le niveau de sécurité et de risque de votre réseau.
Prouvez-le ou perdez-le
Lorsque M. Liebert a récemment construit sa nouvelle maison, il a été surpris par les changements apportés au processus d'inspection des maisons.
"Dans le passé, les inspecteurs se fiaient à leur expérience, à leur instinct et à leurs connaissances en matière de construction pour approuver les nouvelles constructions", explique-t-il.
Mais ce n'est plus ainsi que cela fonctionne.
"Les inspecteurs d'aujourd'hui pourraient toujours savoir que la construction est bien faite", a-t-il déclaré. "Mais ils veulent une lettre d'un ingénieur pour le prouver.
Les lettres d'ingénierie fournissent aux inspecteurs la documentation et les données dont ils ont besoin pour étayer leur décision de donner à la maison la note de passage.
Ce changement a marqué Bryan. En tant qu'ancien RSSI et actuel conseiller RSSI, il constate que la même transformation se produit dans le domaine de la cybersécurité. L'instinct et des années d'expérience ne suffisent pas.
Les conseils d'administration et les assureurs ne se contentent pas de demander des avis - ils veulent que la sagesse, l'expérience et le leadership du RSSI soient complétés par un cadre étayant leurs recommandations. Ils veulent leur propre lettre d'ingénieur.
Bryan aide les clients de WWT à prendre les devants grâce à une approche fondée sur les données qui permet aux organisations de faire le lien entre le conseil d'administration, les fournisseurs d'assurance et les objectifs commerciaux.
Il travaille avec des partenaires tels qu'Illumio pour aider les RSSI à passer du statut de cyberconteur à celui de décideur scientifique.
Construire un meilleur dossier, plus équitable
Du point de vue de Bryan, le travail du RSSI consiste désormais autant à influencer les décideurs qu'à assurer la protection.
"Ils passent trop de temps à lutter contre les incendies et à essayer de convaincre les décideurs d'investir dans leurs stratégies", a-t-il déclaré. "Sans modèles défendables mesurant le risque de leur entreprise, ils doivent souvent compter sur leur charisme pour obtenir le soutien du conseil d'administration pour les dépenses de sécurité."
Bryan estime que cette approche n'est plus viable.
C'est pourquoi il se passionne pour une autre voie : L' analyse factorielle des risques liés à l'information (FAIR). Il s'agit d'un cadre de gestion des risques quantitatifs mis au point par l'Institut FAIR qui traduit les risques liés à l'information en termes mesurables et reproductibles.
"Il s'agit d'un moyen scientifique de calculer la probabilité et l'impact traditionnels d'un risque", a expliqué M. Bryan. "En fait, les cyber-assureurs l'utilisent désormais pour évaluer la couverture.
L'objectif de FAIR est de permettre aux RSSI d'entrer dans une salle de réunion en toute confiance et d'exposer une stratégie basée sur ce modèle.
De "faites-moi confiance" à "voici le calcul"
Bryan estime que le RSSI moderne a besoin d'un moteur de décision - un moyen de traduire les objectifs techniques de sécurité en objectifs commerciaux compréhensibles par les conseils d'administration.
Cela signifie qu'il faut faire de la cybersécurité un élément qui peut être mesuré, hiérarchisé et optimisé, comme n'importe quel autre secteur de l'entreprise.
"Les conseils d'administration ne se soucient pas des aspects techniques", a déclaré Bryan. "Ils se soucient des risques pour l'entreprise. Si vous pouvez leur montrer une analyse qui dit : "Si ce système est compromis, voici l'impact financier", vous parlez leur langage".
Il ne s'agit pas seulement d'une question d'adhésion initiale. M. Bryan souhaite que les RSSI fournissent des statistiques mesurables démontrant que leurs investissements en matière de sécurité ont permis de réduire de manière significative les risques liés à des objectifs commerciaux rentables.
"C'est le moment de la lettre d'ingénieur", a déclaré Bryan. "Vous ne pouvez pas vous contenter de dire que vous avez réduit le risque. Vous leur montrez les mathématiques".
Les conseils d'administration ne s'intéressent pas aux aspects techniques. Ils se soucient des risques pour l'entreprise. Si vous pouvez leur montrer une analyse de simulation qui dit : "Si ce système est compromis, voici l'impact financier", vous parlez leur langage.
Comment l'assurance cybernétique change la donne
L'assurance cybernétique joue également un rôle dans cette nouvelle évolution. Dans le passé, il s'agissait peut-être d'une simple case à cocher, mais aujourd'hui, elle redéfinit la manière dont les RSSI prouvent leur valeur.
"Lorsque la cyberassurance est apparue, personne ne disposait d'un modèle ouvert pour quantifier le risque", a déclaré M. Bryan. "Maintenant, ils demandent de vraies preuves. Et si vous pouvez leur proposer une formule défendable, vous pouvez obtenir des remises - de l'argent réel sur la table".
Ce type d'incitation est exactement ce dont les RSSI ont besoin pour faire avancer leurs programmes.
"Vous ne demandez plus seulement un budget", a déclaré Bryan. "Vous démontrez que votre dispositif de sécurité est capable de protéger les objectifs commerciaux de l'entreprise. C'est le genre de retour sur investissement qui intéresse les conseils d'administration".
Le RSSI, un traducteur, pas seulement un technicien
L'un des plus grands défis auxquels Bryan est confronté aujourd'hui est le fait que la plupart des programmes cybernétiques parlent encore à l'entreprise au lieu de s'aligner sur elle.
C'est un problème, en particulier dans des secteurs comme l'enseignement supérieur ou la santé, où l'objectif premier du conseil d'administration n'est pas la cybersécurité, mais plutôt la recherche, la réussite des étudiants ou les soins aux patients.
La cybersécurité est un élément nécessaire de la responsabilité des entreprises, mais elle n'est pas pertinente pour les universités qui n'ont pas d'étudiants ou les hôpitaux qui n'ont pas de patients.
"Votre tâche consiste à démontrer le rôle que joue la cybersécurité dans la protection et le maintien de la disponibilité des systèmes qui contribuent à la réussite des étudiants et à la satisfaction des patients", a expliqué M. Bryan. "Vous voulez qu'ils reviennent et recommandent vos services parce qu'ils ont eu le sentiment que leur vie privée était protégée, qu'ils étaient en sécurité et qu'ils ont eu une bonne expérience avec tous les systèmes qu'ils ont rencontrés.
C'est là que des fournisseurs comme Illumio - et des partenaires comme WWT - entrent en jeu.
Comment Illumio et WWT aident à rendre le risque réel
Pour Bryan, le pouvoir des partenariats se résume à une chose : la preuve.
"Nous faisons venir les organisations au centre de technologie avancée (ATC) du WWT et nous leur montrons côte à côte ce que fait la technologie et comment la formule réduit les risques", explique M. Bryan. "Notre terrain d'essai de l'IA leur permet de le voir en action avec les dernières avancées de l'IA qui sont maintenant intégrées dans pratiquement tous les produits et stratégies de cybersécurité."
Bryan a également noté que les fournisseurs de cybersécurité tels qu'Illumio prennent les mathématiques de sécurité au sérieux. Avec des outils comme Illumio Insights, ils aident les équipes de sécurité à voir, comprendre et prioriser les risques en se basant sur des données - et non sur des suppositions.
Avec des partenaires comme WWT et Illumio, les RSSI disposent des outils et des ressources dont ils ont besoin pour démontrer la valeur, hiérarchiser les risques et étayer chaque décision par des données.
Vous voulez voir quelles données Illumio Insights peut découvrir dans votre réseau ? Commencez votre Essai gratuit aujourd'hui.
.webp)
