FR
FR EN DE
Accueil | Vos 100 premiers jours en tant que RSSI [Liste de contrôle gratuite] (en anglais)

Vos 100 premiers jours en tant que RSSI [Liste de contrôle gratuite]

Orlaith Traynor

7 min lire - 19 septembre 2024

L'effervescence qui règne dans la profession de la cybersécurité signifie que chaque jour, chaque semaine, chaque trimestre, etc. apporte son lot de nouveaux défis.

Le rôle du RSSI est en train de sortir de l'ombre pour occuper une place centrale dans la salle du conseil d'administration, et ce, alors qu'un sentiment général d'instabilité s'empare des dirigeants. L'augmentation des primes d'assurance cybernétique, les menaces de ransomware, la pénurie de talents et l'augmentation des risques de menace signifient que les cyberdirigeants ressentent la chaleur.

Nous sommes entrés dans une période de crise cybernétique.

C'est pourquoi cette liste de contrôle est là pour vous accompagner dans vos 100 premiers jours en tant que RSSI. Dans ce guide, nous avons recensé des outils, des conseils et des cadres de travail pour vous.

  • Phase 1 : Évaluation et établissement de relations [Mois 1]
  • Phase 2 : Développement de la stratégie et gains rapides [Mois 2]
  • Phase 3 : Communication et décollage [Mois 3]
  • Phase 4 : Contrôle de la température et réévaluation [Mois 4]

Nous espérons que ce guide vous sera utile dans le cadre de notre série CISO Insights. Vous trouverez le premier blog de cette série ici.

Phase 1 : Évaluation et établissement de relations

L'examen des serveurs ouverts et des bases de données exposées est une partie importante d'un bon examen de la posture de sécurité.

Mois 1

Examinez votre position en matière de sécurité

Il est temps de réfléchir à votre posture de sécurité en procédant à une évaluation approfondie de votre situation dans votre nouveau rôle.

Pour savoir de quoi vous avez hérité, prenez le temps d'entreprendre une analyse approfondie de votre infrastructure, de vos politiques et de vos procédures de sécurité actuelles, ainsi qu'un examen des incidents de sécurité récents et de l'efficacité de la manière dont votre prédécesseur les a gérés.

En ce qui concerne l'énorme trou noir qu'est la conformité, prenez le temps d'examiner, d'examiner et d'examiner encore, en particulier en ce qui concerne les fournisseurs avec lesquels vous travaillez. Envisagez d'ajouter un audit interne à votre calendrier pour passer en revue toutes les certifications de conformité.

Accédez à vos relations

"Vous pouvez avoir tout ce que vous voulez dans la vie si vous aidez suffisamment d'autres personnes à obtenir ce qu'elles veulent.
Rod McDermott, PDG de McDermott + Bull

L'établissement de relations solides au sein de votre organisation est une voie royale vers le succès, tout comme l'engagement avec les membres du conseil d'administration, les cadres supérieurs, les chefs de service et les principales parties prenantes externes. Une longue liste de rencontres avec de nouveaux visages est une partie essentielle de votre travail initial d'intégration. Vous devez montrer l'exemple et favoriser un environnement dans lequel la cybersécurité n'est pas effrayante, mais essentielle à la continuité de l'activité.

Pour ce qui est de votre équipe de sécurité et de l'établissement de relations au sein du département du DSI, vous devrez vous lancer dans une stratégie et un programme de cybersécurité qui renforcent la confiance dans les défis et les opportunités auxquels ils sont confrontés sur le terrain.

S'attaquer à l'administration de votre budget

L'étape suivante de votre liste de tâches consiste à examiner le budget de l'ensemble de votre programme de cybersécurité. C'est l'une des tâches les plus fastidieuses et les plus exaspérantes de votre liste, mais il n'y a pas d'évaluation des risques sans budget pour vous aider à atteindre tous ces objectifs commerciaux.

C'est une tâche qui n'est pas sans poser de problèmes, car elle met aux prises des chefs d'entreprise tels que le directeur financier et l'équipe financière au sens large.

Aux États-Unis, données montre que si 12% des RSSI prévoient une baisse de leur budget en 2024, les dépenses informatiques augmentent de plus en plus dans le domaine de la sécurité, passant de 8,6% de budgets informatiques en 2020 à 13,2% en 2024.

Vous devrez rapidement identifier les lacunes risquées en matière de ressources et plaider en faveur de l'optimisation de certains domaines. Vous devrez également passer beaucoup de temps avec les cadres supérieurs des différents départements pour vous rapprocher de ce que vous voulez et de ce dont vous avez besoin. Nous vous conseillons de respirer profondément et d'aligner autant que possible vos besoins sur ceux de la conformité réglementaire et des menaces de sécurité.

Nous avons trouvé que ce guide de Forrester était une excellente ressource.

Phase 2 : Développement de la stratégie et gains rapides

Mois 2

Le deuxième mois est consacré à l'accélération de votre nouvelle feuille de route afin que tous ces visages et la résolution des contraintes budgétaires vous soient plus familiers. Ce n'est pas une mince affaire que d'élaborer une feuille de route capable de couvrir les risques de sécurité les plus importants (tout en soutenant les objectifs de l'entreprise).

L'année dernière, des études ont montré que les organisations dotées d'une solide gouvernance des données sont 2 fois plus de chances de dépasser les objectifs de l'entreprise. Vous devrez gratter et

CybelAngel 2024 State of the External Attack Surface Report
C'est le bon moment pour examen et une multitude de cas d'utilisation des technologies de l'information.

Établir la feuille de route du RSSI en matière de cybersécurité

Comment combiner la gestion des risques, les initiatives à faible coût qui se traduisent par des améliorations significatives et le renforcement des politiques de sécurité dans leur ensemble lors de la première présentation de la feuille de route ?

Ce n'est pas une tâche facile.

Pourquoi la cybersécurité est-elle un tel obstacle à l'investissement ? Découvrez-le dans les 100 premiers jours. Source : Trend Micro.

D'autant plus que, selon un Étude de Trend Micro,"90% des décideurs informatiques affirment que leur entreprise serait prête à faire des compromis en matière de cybersécurité en faveur de la transformation numérique, de la productivité ou d'autres objectifs".

La diversité des attitudes à l'égard du risque cybernétique signifie que la lutte pour la défense des intérêts et le budget pour contourner les vulnérabilités actuelles et futures peut avoir un impact négatif sur votre sphère de progrès.

L'un des points négligés sur la feuille de route d'un nouveau RSSI peut être la communication des compromis aux dirigeants, en particulier lorsqu'il s'agit de modifier les processus. Chaque conversion de la feuille de route pour une fonction peut conduire à des allers-retours contre-productifs, la sécurité informatique et les dirigeants de la suite C voulant que des priorités différentes soient au premier plan.

Il est essentiel de formuler correctement les compromis pour respecter votre feuille de route sans compromettre la capacité de votre équipe à tenir ses engagements et en augmentant la probabilité d'un épuisement professionnel au sein de votre équipe.

"Il n'y a pas de solutions, il n'y a que des compromis ; vous essayez d'obtenir le meilleur compromis possible, c'est tout ce que vous pouvez espérer". - Thomas Sowell

Lorsqu'il s'agit d'établir des indicateurs clés de performance et des mesures, l'ensemble de l'équipe risque d'être lésée par une mauvaise orientation de la part du responsable de la sécurité de l'information. Vous devrez aborder la sélection des données en fonction du destinataire, qu'il s'agisse de votre conseil d'administration ou de votre directeur des systèmes d'information. Cependant, tout le monde aime les rapports clairs sur les cybermenaces, ce que les RSSI ayant moins de soutien interne peuvent demander à leurs fournisseurs. En ce qui concerne les réponses aux incidents, la reprise après sinistre et les mesures de sécurité génériques, les RSSI peuvent s'appuyer sur leurs fournisseurs.

Dans notre prochain blog CISO Insights, nous nous pencherons plus en détail sur les indicateurs clés de performance des RSSI qui compteront en 2024. Consultez le first blog dans cette série, "Comment s'y retrouver dans les réunions du conseil d'administration : Un guide pour les RSSI".

Phase 3 : Communication et décollage

Mois 3

Lancez vos initiatives en matière de sécurité avec enthousiasme

Le troisième mois devrait être un peu différent. Vous vous êtes assis avec un stylo et du papier et avez examiné la gestion des risques, élaboré une feuille de route en matière de cybersécurité, discuté avec votre directeur financier (et, espérons-le, noué d'excellentes relations) avec le reste de votre équipe, ce qui est tout à fait positif.

Mais c'est encore la saison où il faut prouver sa valeur en tant que nouveau venu dans la suite C. Il faut maintenant être cadre et prouver que l'action l'emporte sur l'anxiété. Il vous faudra maintenant être un cadre et prouver que l'action l'emporte sur l'anxiété.

Ci-dessus : Comment Gartner recommande de planifier vos 100 premiers jours dans votre nouveau rôle de RSSI. Consultez leur rapport spécial.

En bref, vous devrez intensifier les trois actions suivantes :

1: Mettre en œuvre votre feuille de route stratégique: Il doit démontrer l'importance que vous accordez aux opérations de sécurité, aux processus opérationnels, aux structures de reporting, aux menaces, aux programmes de formation, à la protection des données et à la préparation de la réponse aux incidents. L'objectif est ici d'être aussi complet que possible avec les données et les ressources que vous avez analysées jusqu'à présent. Vous devrez vous concentrer autant que possible sur les gains rapides et à fort impact.

2: Faites de l'amélioration de la communication votre objectif: Vous ne pouvez pas protéger votre position sans resserrer massivement votre communication avec tout le monde. Du conseil d'administration au responsable de la sécurité, vous devez adapter la manière dont vous partagez les données et les rapports. Il est également essentiel de revoir la manière dont vous partagerez les informations avec toutes les parties prenantes en cas de violation de données et de cyberattaque. Il serait regrettable qu'une crise majeure survienne alors que vous venez de prendre les rênes de l'entreprise. Il incombe au RSSI de bien communiquer et de ne pas se contenter de stresser une nouvelle équipe de professionnels de la sécurité qui attendent de lui qu'il les guide.

Des chiffres sombres, mais compréhensibles, provenant de Terranova Security.

En ce qui concerne votre conseil d'administration, vous devrez vous efforcer d'adapter votre langage à des mesures de sécurité des données de base qui soient digestes. Quel que soit votre degré de connaissance et d'intelligence aux yeux de votre équipe, si votre présentation des atteintes à la sécurité est en double hollandais, vous échouerez. Pendant cette période, appuyez-vous sur les tableaux de bord des fournisseurs tout en intensifiant votre propre analyse des paramètres internes. Le rôle polyvalent d'un RSSI signifie que vous devez adapter chaque détail à votre public.

3: Renforcer la culture de la sécurité interne: Cela semble évident, mais le travail commence maintenant pour gagner la confiance et éduquer chaque membre de votre équipe, tous les départements, le conseil d'administration, et surtout votre équipe de direction. PWC ont révélé que 46% des entreprises ont constaté que l'adhésion du PDG est un facteur déterminant de l'amélioration de la culture de la cybersécurité au travail.

Phase 4 : Contrôle de la température et réévaluation

Mois 4

Le quatrième mois ressemble à une descente de tapis roulant après une séance de sprint agressive. Il est temps de s'étirer et d'évaluer (vraiment évaluer) vos performances après les trois premiers mois.

Vous pouvez vous attaquer à ce problème de plusieurs manières :

  • Prenez le temps d'examiner vos reçus de performance: Qu'est-ce qui a été déployé, réorganisé, supprimé ? Avez-vous eu l'impact que vous espériez ? Votre équipe s'est-elle installée dans un nouveau rythme de productivité cohésive ? Qu'est-ce qui n'a pas fonctionné ? Prenez le temps d'écouter les commentaires de votre équipe et utilisez-les pour vous améliorer !
  • Examinez les résultats de vos ICP: Examinez, révisez et répétez vos conclusions gagnantes. Gardez un œil attentif sur les rapports de vos fournisseurs et vérifiez s'ils sont adaptés à vos besoins et à votre couverture.
  • Penser l'avenir: À ce stade, vous avez solidement établi vos conclusions et vous avez vous-même besoin de temps pour évaluer, lire et tenir compte des contraintes de temps et de budget qui apparaîtront. Maintenant que vous avez une meilleure idée des événements opérationnels et accidentels dans votre nouveau rôle, vous pouvez effectuer un travail approfondi pour établir plus de précision dans vos rapports et vos routines.

N'oubliez pas que si vous avez besoin d'une expertise en matière d'enquête sur les menaces pendant cette période, vous pouvez contacter notre équipe REACT.

Conclusion

Félicitations pour avoir franchi le premier marathon de 100 jours. Nous vous souhaitons beaucoup de succès pour le prochain sprint. Il se peut que vous réfléchissiez à la manière de poursuivre l'élaboration de votre feuille de route, alors n'oubliez pas de consulter d'autres ressources intéressantes et utiles sur notre site Web blog.