Le système d’information d’une entreprise est un environnement en constante évolution. Entre diversité des usages (télétravail, BYOD, OT…) et pluralité des infrastructures (on-premise, hybride, full cloud), l’entreprise se doit d’impliquer l’ensemble de ses collaborateurs dans le but de renforcer sa posture de cybersécurité.
Devant tant de complexité, le responsable de la sécurité des systèmes d’information ne peut plus être le parangon de la sécurité informatique de l’entreprise. Il se doit alors de passer de soliste à chef d’orchestre pour pouvoir insuffler sa vision de la cybersécurité au sein de l’organisation.
Mais alors, comment impliquer les équipes dans ce projet commun ? Comment encourager la collaboration entre les différents services ? Décryptage et explications dans cet article.
Le RSSI n’est plus seul responsable de la cybersécurité de l’entreprise
Plateformes de messagerie sécurisées, CRM, collaboration en ligne, stockage des données dans le cloud… l’environnement de travail de l’entreprise n’a jamais été aussi connecté.
Un constat qui incite à repenser le rôle du RSSI. Celui-ci n’est en effet plus en mesure de gérer à lui seul l’ensemble des questions de cybersécurité dans l’entreprise, comme le rappelle le rapport du cabinet Gartner sur les tendances de la cybersécurité de l’année 2022. Selon ce dernier, la gestion de la cybersécurité se décentralise dans les entreprises et exige désormais une implication des différents services dans le but de garantir une homogénéisation des exigences en matière de cybersécurité.
Cela peut passer par :
- une formation des collaborateurs aux risques cyber ;
- l’utilisation d’outils de protections adaptés ;
- un renforcement de la collaboration entre le RSSI et les départements via l’instauration d’un référent SSI dans chacune des équipes.
L’objectif ? Développer une compréhension mutuelle des enjeux de cybersécurité au sein de l’entreprise. Les référents partagent ainsi leurs contraintes opérationnelles d’application des bonnes pratiques cyber, et le RSSI acquiert une vision globale du fonctionnement de l’entreprise.
Si cette stratégie fonctionne sur le papier, elle demande néanmoins à être adaptée selon les équipes et le contexte de collaboration.
Le comité exécutif
Avec l’application prochaine de la nouvelle directive NIS 2, la responsabilité de la bonne mise en œuvre des exigences en matière de cybersécurité se voit reposer désormais en partie sur la direction de l’entreprise.
En conséquence, le RSSI doit collaborer de manière plus étroite avec le comité exécutif (COMEX) dans le but d’intégrer la cybersécurité dans la stratégie de gouvernance de l’entreprise.
Cette collaboration vise à assurer une compréhension commune des risques et des mesures de protection nécessaires à déployer à tous les niveaux de l’organisation.
Les ressources humaines
RSSI et ressources humaines doivent travailler de concert, en particulier dans la gestion des droits d’accès liés aux mouvements de personnel. Et pour cause : lesRH sont responsables du suivi des arrivées et des départs des employés, ce qui a un impact direct sur la gestion des accès aux données de l’entreprise.
En notifiant l’équipe SSI, cette coopération permet de s’assurer que les nouveaux collaborateurs obtiennent les accès strictement nécessaires à leur fonction et que les accès des collaborateurs sortants soient désactivés pour éviter tout risque de sécurité.
Département Achats et équipes métiers
La collaboration entre le RSSI et le département des Achats et les équipes métiers permet de garantir la sécurité de la chaîne d’approvisionnement.
Les équipes métiers doivent fournir aux RSSI des informations détaillées sur les projets en cours et les fournisseurs avec lesquels elles collaborent.
En appliquant un délai de prévenance à la maintenance d’un équipement par un prestataire sous-traitant, l’équipe SSI pourra par exemple interpréter d’une manière différenciante les éventuelles alertes liées à la connexion des équipes sur le réseau interne de l’entreprise.
Cette collaboration renforce non seulement la vision de la SSI dans l’entreprise, mais évite également que des actions de remédiation soient lancées par erreur et à cause d’un manque d’informations.
Département Communication
Le RSSI a besoin de collaborer avec le service Communication, notamment dans le cadre d’actions de sensibilisation à la cybersécurité au sein de l’entreprise ou de gestion de crise.
Ensemble, ils élaborent et déploient des campagnes de communication adaptées. Il est ainsi conseillé pour le RSSI d’identifier au plus tôt les solutions logiciels utilisées par l’équipe communication et de sensibiliser les membres de l’équipe à la gestion de crise.
Comment Tenacy vous aide à collaborer efficacement avec vos équipes
Explications claires de vos besoins à vos collaborateurs
Pour que les collaborateurs comprennent précisément ce qui leur est demandé, le RSSI doit être en mesure de fournir des instructions claires et détaillées.
La plateforme Tenacy permet au RSSI de communiquer efficacement avec les différents référents SSI de l’entreprise, distinguant les « pilotes », qui supervisent la gestion de la solution, des « contributeurs », assignés à la saisie de données spécifiques.
La nouvelle interface permet de fournir davantage d’informations aux contributeurs, leur permettant ainsi de comprendre exactement ce qui est attendu d’eux, notamment dans le cadre de la conformité ISO 27001 ou de la gestion des risques.
Une traçabilité des opérations
Communiquer avec les autres départements implique aussi pour le RSSI de s’assurer de la traçabilité des opérations. Il s’agit de savoir ce qui a été envoyé, à qui, quand et pourquoi.
Pour répondre à ce besoin, Tenacy dispose de fonctionnalités permettant d’envoyer des notifications et des alertes aux contributeurs. Cette composante facilite la communication et assure que chaque action est enregistrée et traçable, améliorant ainsi la transparence et l’efficacité du pilotage de la cybersécurité au sein de l’entreprise.
Un format unique pour vos demandes
Les RSSI rencontrent souvent des problèmes lorsqu’ils collectent des informations. Ils reçoivent des données dans des formats différents, comme des tableaux Excel ou des emails, en particulier des départements RH concernant les informations relatives aux nouveaux employés. Cette situation crée une surcharge de travail en termes de consolidation et de normalisation des informations.
Tenacy propose un format unique et standard pour la collecte d’informations, qui peut être utilisé par tous les collaborateurs. Cela facilite grandement la tâche du RSSI en centralisant les données et en garantissant leur uniformité, permettant ainsi une analyse et une gestion des risques de sécurité plus efficaces et plus cohérentes au sein de l’organisation.