Dans ce billet je vous ferais part de mon expérience en tant que RSSI au sein d'un groupe français.
La plus grande phobie du RSSI (Responsable de la Sécurité des Systèmes d’Information) est de devoir faire face un jour à une cyber attaque.
"Aïe encore une cyber attaque!!!" Très souvent ce sont les nouvelles habituelles du petit matin échangée autour d'un café avec les collègues qui nous font réagir. C'est carrément devenu une habitude d'entendre qu'une entreprise publique ou privée ait été touchée par une cyberattaque.
On en parle et on se "réjouis" du fait que ce ne soit pas passé par chez nous, mais chez le partenaire, le confrère ou le concurrent. On fait cependant preuve d'empathie en prenant des nouvelles et en proposant de l'aide.
Le risque d’intrusion est constant. La question n’est donc pas « si », mais « quand » le système d’information de l' organisation sera ciblé par une cyberattaque d’ampleur.
Comment évaluer La perte business ?
En bref une multitude d'actions qui souvent sont les conséquence d'une direction peu sensible au problématique cyber :
Des événements malheureux qui auraient pu être évités ou tout simplement retardés pas la mise en place d'une vrai politique de sécurités (au niveau technique et organisationnel).
La politique de sécurité informatique est un ensemble de mesures et de règles qui visent à protéger les systèmes d’information d’une entreprise contre les menaces internes et externes. Elle permet de garantir la confidentialité, l’intégrité et la disponibilité des données et des systèmes informatiques. La politique de sécurité informatique doit être adaptée aux besoins et aux risques de l’entreprise, et doit être régulièrement mise à jour pour prendre en compte les nouvelles menaces et les nouvelles technologies. Ces règles sont traduites dans un document appelé "PSSI" qui est un document de référence (validé par le PDG) qui reflète la vision stratégique de la direction de l’organisme en matière de sécurité des systèmes d’information (SSI). Elle permet de définir les objectifs à atteindre, les acteurs associés ainsi que les moyens accordés pour parvenir aux cibles.
Comment est perçu le budget informatique par la direction générale !
Ce que voit le Hacker !
La responsabilité juridique du RSSI dans tout ça ?
Le responsable de la sécurité des systèmes d’information de l’entreprise (RSSI) est garant de la continuité de service et du bon fonctionnement de l’entreprise.
Ce qui lui donne des responsabilités juridiques qu’il doit connaître. En cas d’infraction intentionnelle commise par le RSSI, il peut être déclaré personnellement pénalement et/ou civilement responsable et encourt également une sanction disciplinaire pouvant aller jusqu’au licenciement.
Les règles applicables à la responsabilité sont différentes en matière de responsabilité civile d’une part ou de responsabilité pénale d’autre part, et dans le cadre de la responsabilité civile, on distinguera, suivant qu’elle s’exerce vis-à-vis de l’entreprise employeur ou qu’elle s’exerce à l’égard des tiers.
Si le RSSI commet une infraction non intentionnelle, il n’encourt pas de responsabilité pénale ni civile.
En responsabilité civile, le DSI ou le RSSI pourra être tenu responsable suite à une faille de sécurité des systèmes d’information en cas d’inexécution d’une obligation contractuelle ou de faute, intentionnelle ou non, commise par le DSI/RSSI ou par une personne dépendant du DSI/RSSI
Quelques chiffres :
43 % des RSSI jugent que la compromission des e-mails professionnels est la première menace, devant les ransomwares et les attaques par déni de service, tous deux à 40 %, les logiciels malveillants (37%), la compromission des comptes cloud et les menaces internes (32 % chacun).
78 % des RSSI français en 2021 et 37 % en 2022 estiment ainsi ne pas être préparés à faire face à une attaque ciblée. Avec tous les évènement lié à la crise sanitaire et au conflit russo-ukrainien si les cyber menaces sont plus fortes, les RSSI sont ainsi plus optimistes car plus préparés.
Et la santé mentale ? On en parle ?
La prochaine grande menace pour la sécurité des entreprises pourrait venir de la santé mentale des responsables de la sécurité des systèmes d’information du fait de la pression à laquelle ils sont confrontés au quotidien.
Les niveaux de stress deviennent difficilement soutenables. On doit aussi composer avec des difficultés de recrutement et de rétention de professionnels très courtisés. La cybersécurité souffrant d’un déficit de professionnels qualifiés disponibles par rapport à la demande exprimée par les entreprises.
Selon une étude menée par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 61 % de ses membres ont un niveau de stress susceptible d'avoir des conséquences néfastes sur leur santé.
Il est prévu qu'n quart des responsables de la sécurité des systèmes d’information (RSSI) tourneraient le dos à la profession d’ici 2025. "Ho my god !"
Alors patrons ? Vous n'êtes pas encore convaincu qu'il est nécessaire d'investir en cyber sécurité ?
Oui ça a un coût ! mais moindre par rapport aux couts engendrés pas une cyber attaque. Le but n'est pas de l'empêcher mais de réduire son impact sur l'activité et le business. Il est préférable d'anticiper les problèmes que de les subir.