Responsable de la sécurité informatique

Tendance de sécurité 2022 du Gartner n° 4 : la distribution des décisions

Version imprimable, PDF et e-mail

Bienvenue dans le quatrième article de notre série en cours sur les sept tendances clés identifiées par Gartner dans son rapport Tendances en matière de cybersécurité pour 2022, publié pour ses clients en mars dernier. Aujourd'hui, nous abordons la tendance n°4 : la répartition des décisions.

Cette tendance s'inscrit parfaitement dans le fil conducteur du rapport du Gartner : les changements fondamentaux dans le rôle et la fonction du CISO - et la nécessité pour les entreprises d'adopter ce changement si elles veulent gérer efficacement le cyber-risque à l'avenir.

Le rôle traditionnel du CISO

Cela peut sembler étrange de parler du rôle « traditionnel » d'un nom de poste qui a vu le jour vers 1994 ou 1995 (lorsque Citicorp a nommé Steve Katz à ce poste - pour tous les amateurs d'histoire des entreprises). Mais dans cette période relativement courte, le rôle du CISO a déjà subi un certain nombre de changements en réponse à l'évolution des conditions commerciales et technologiques.

Néanmoins, tout au long de son existence, le CISO a presque universellement été considéré comme un expert en la matière dans un sous-ensemble spécialisé de l'informatique. En tant que tel, le CISO a presque toujours rendu compte au directeur de l'information.

Outre une compréhension approfondie du contexte des cybermenaces pour établir des politiques et des pratiques de cybersécurité dans toute l'entreprise, le CISO a traditionnellement eu pour responsabilité de défendre la cybersécurité comme un intérêt en concurrence avec d'autres ; de négocier avec les responsables du développement, des opérations, de la gestion produits, etc. pour établir un équilibre correct entre la cybersécurité et d'autres intérêts concurrents au sein de l'entreprise.

Changement de tactique

Selon l'analyse du Gartner, « D'ici 2025, une seule fonction de cybersécurité centralisée ne sera pas suffisamment agile pour répondre aux besoins d'une entreprise numérique ».

Cela est dû en partie à l'exposition de nouveaux vecteurs d'attaque tels que les chaînes logistiques numériques, à l'augmentation des menaces, à des exigences réglementaires mises à jour et à l'évolution des processus métier transverses. En outre, l’expansion de l’espace de travail numérique signifie que les parties prenantes de l'entreprise ont de plus en plus besoin que les décisions de sécurité et les politiques soient plus fréquentes, ce que la fonction centralisée de CISO est de plus en plus incapable de faire.

Afin de prendre des décisions en matière de sécurité avec la rapidité et l'agilité requises, et au sein d'entreprises numériques de plus en plus vastes et complexes, la fonction de prise de décision doit être transférée à des divisions commerciales distinctes.

De l'informatique à la gestion des risques

Le Gartner prévoit une tendance à la reconceptualisation du rôle du CISO, qui passerait du statut d'expert informatique spécialisé à celui de gestionnaire exécutif des risques spécialisé. Il devra rendre des comptes au PDG plutôt qu'au DSI et accompagner une fonction de prise de décision largement répartie, à l'aide d'informations, d'outils et de politiques.

Pour adopter cette tendance, les CISO doivent s'efforcer de travailler avec d'autres parties prenantes pour :

  • Prendre moins de décisions risquées, tout en donnant aux autres membres de l’entreprise les moyens de prendre leurs propres décisions
  • Investir dans des outils en libre-service et pédagogiques qui apprennent aux décideurs de l'entreprise à faire preuve d'un meilleur jugement en matière de cybersécurité
  • Définir clairement les responsabilités du « bureau du CISO » plutôt que celles du CISO lui/elle-même
  • Former et responsabiliser le conseil d'administration, le PDG et les autres responsables métiers à prendre des décisions en matière de cyber-risque
  • Œuvrer à l'instauration d'une culture d'entreprise consistant à prendre en compte le cyber-risque et à prendre des décisions en la matière dans le cadre de chaque activité et processus commercial.

Abonnez-vous à Journey Notes

Remonter en haut de page
Tweeter
Partager
Partager