Le rôle du Chief Information Security Officer (CISO) n'a jamais été aussi difficile et crucial qu'aujourd'hui. Avec l'augmentation exponentielle des menaces cybernétiques, qui peuvent causer des dommages irréparables à la réputation, à la confiance et au patrimoine des organisations, les CISO doivent être prêts à faire face à un paysage de plus en plus complexe et dynamique.
En 2024, le Brésil a enregistré une augmentation significative des attaques informatiques. Au premier trimestre, il y a eu une croissance de 38 % par rapport à la même période de 2023, avec des organisations brésiliennes subissant en moyenne 1 770 attaques par semaine. Au deuxième trimestre, l'augmentation a été encore plus marquée, atteignant 67 % par rapport à l'année précédente, avec une moyenne de 2 754 attaques hebdomadaires par organisation. Au troisième trimestre, le nombre moyen hebdomadaire d'attaques par organisation au Brésil a atteint 2 766, ce qui représente une croissance de 95 % par rapport à la même période de 2023. Les secteurs les plus ciblés étaient la finance, la santé, le gouvernement et l'énergie, les principaux types d'attaques étant les ransomwares, le phishing, les DDoS et les APT (Menaces Persistantes Avancées).
Les RSSI doivent s’adapter à cette nouvelle ère de cyberattaques sans précédent – en exécutant souvent plusieurs fonctions en même temps et, dans le cas du Brésil, en gérant un scénario de maîtrise des coûts et d’investissements dans la cybersécurité.
Le rôle du RSSI moderne
Le poste de CISO est relativement récent. Contrairement aux directeurs financiers ou aux directeurs exécutifs, la fonction de directeur de la sécurité de l'information n'existait pas officiellement jusqu'au milieu des années 1990.
De plus, le rôle du CISO a constamment évolué au sein des organisations. Selon le rapport CISO de 2023 de Splunk, 90 % des personnes interrogées estimaient que la fonction était devenue un « travail complètement différent » de celui qu'elles avaient au début.
Au début, le CISO était responsable de l'élaboration des politiques, de la gouvernance de la sécurité et de la mise en œuvre de contrôles de sécurité plus rudimentaires, ce qui conduisait ce professionnel à avoir une vision beaucoup plus technique que managériale. Aujourd'hui, la liste des responsabilités a considérablement augmenté. L'une d'elles, par exemple, est la fonction politique du poste : les CISO doivent entretenir des relations de travail étroites avec le PDG, le CFO et le département juridique de l'organisation. Le budget du département de la Sécurité est une condition essentielle pour faire face à la multitude de menaces qui existent aujourd'hui.
Et cela reste encore un problème pour les entreprises du monde entier, en particulier au Brésil. La complexité du scénario apporte, d'un côté, un pays avec l'un des taux d'attaques les plus élevés au monde. D'autre part, l'incertitude économique et la fluctuation du dollar (puisque la majorité écrasante des solutions est vendue en devises étrangères) obligent les CISO à jongler avec les ressources disponibles pour garantir la protection de l'entreprise.
Bons communicateurs
Contrairement à une image autrefois fortement basée sur le stéréotype du technicien, le RSSI doit aujourd’hui avoir un rôle de leader et être un bon communicateur pour mener la création d’une solide culture de cybersécurité au sein de l’entreprise.
Un autre point important est que les CISO ne peuvent pas agir seuls dans la gestion de la sécurité de l'information. Ils doivent compter sur le soutien et la collaboration de l'écosystème externe, qui comprend les fournisseurs, les clients, les partenaires, les organismes de réglementation, les entités professionnelles et les communautés de sécurité. Ces acteurs peuvent contribuer avec des informations, des ressources, des solutions et de bonnes pratiques qui aident le dirigeant à améliorer et renforcer la sécurité de son organisation. C'est pourquoi la communication et la relation avec le marché sont également essentielles.
La sécurité doit partir d’une vision holistique
Il ne suffit pas d'avoir des outils et des processus de sécurité isolés et réactifs. Os CISOs precisam ter uma visão holística e integrada da segurança, que abranja desde a cultura e a conscientização dos colaboradores, até a governança e o alinhamento com os objetivos de negócio.
La sécurité doit être considérée comme un élément transversal et essentiel à la continuité et à la croissance de l'organisation, et non comme un coût ou une barrière. Pour cela, les CISO doivent impliquer les autres départements et dirigeants de l'entreprise, en démontrant la valeur et le retour de la sécurité, et en établissant des politiques et des indicateurs clairs et mesurables.
Un sentiment d’urgence est essentiel pour anticiper les menaces
Les menaces cybernétiques évoluent constamment en sophistication et peuvent affecter n'importe quelle organisation, quelle que soit sa taille ou son secteur. C'est pourquoi il est important de rester constamment attentif et à jour sur les tendances et les vulnérabilités du marché, et d'investir dans des solutions et des méthodologies qui permettent d'anticiper les menaces et les risques.
Une des façons de faire cela est d'adopter une approche de sécurité dès la conception, qui intègre la sécurité depuis la conception jusqu'à la livraison des produits et services de l'organisation. Une autre façon consiste à réaliser des tests et des simulations périodiques qui évaluent l'efficacité et la résilience des systèmes et des processus de sécurité, et qui identifient des opportunités d'amélioration et de mitigation.
Même si le rôle du CISO est encore en évolution, ce professionnel est un élément clé pour la protection et l'innovation des organisations à l'ère numérique. Les CISO doivent être prêts à faire face à un niveau de menaces sans précédent, nécessitant une gestion de la sécurité de l'information proactive, stratégique et collaborative.
Enfin, les CISOs doivent garder à l'esprit que la sécurité de l'information n'est pas seulement une question technique, mais aussi un facteur de compétitivité et de valeur pour les clients. Ceux qui parviendront à aligner la sécurité avec les objectifs commerciaux et les attentes des parties prenantes, et qui sauront communiquer les bénéfices et les défis de la sécurité de manière claire et convaincante, seront capables de construire une culture de sécurité forte et durable dans l'organisation, et de contribuer à son succès et à sa croissance dans le paysage numérique.
