Les échos de RSA Conference, Black Hat et DEFCON résonnent encore à nos oreilles. Ces rassemblements, riches en informations, enseignements et prédictions révolutionnaires, ont fait naître chez les RSSI de nouvelles idées et un sentiment renouvelé d'utilité. En ces dernières semaines d'été, il est temps de prendre du recul par rapport au tourbillon des conférences et d'avoir une vue d'ensemble.
Dans un panel animée par Keyfactor et Devo à RSA, les RSSI se sont réunis pour partager leurs préoccupations les plus pressantes, l'évolution du rôle du RSSI et les changements stratégiques qu'ils opèrent pour naviguer dans le paysage complexe de la sécurité d'aujourd'hui. Quatre thèmes clés sont ressortis comme étant les plus importants pour les RSSI - lisez la suite pour savoir ce qui empêche les dirigeants de dormir, et ce qu'ils prévoient de faire à ce sujet.
La cybersécurité est plus que jamais sous les feux de la rampe
La sensibilisation du public aux questions de sécurité a augmenté ces dernières années - en fait, elle n'a jamais été aussi élevée.
Nous avons assisté à des perturbations majeures causées par des cyberincidents :
-
- Lorsqu'un Crowdstrike en juillet 2024 a affecté les appareils Microsoft dans le monde entier, les pannes des compagnies aériennes et les souffrances des clients ont fait la une des journaux. ont fait la une des journaux.
- En 2022, un important Rogers au Canada impliquant des routeurs routeurs défectueux a affecté des millions de clients Internet, mobiles et bancaires, y compris certains systèmes d'urgence 911.
- Après une panne en février 2024, AT&T a découvert que "presque toutes"données clients de la majeure partie de l'année 2022 avaient été exfiltrées, risquant ainsi de laisser des informations personnelles identifiables (PII) entre de mauvaises mains.
- Un "certificat de station terrestre expiré"à la station Starlink en 2023 a mis les satellites hors service pendant plusieurs heures, soulignant les risques d'une mauvaise gestion des certificats pour l'ensemble des opérations.
- Cisco a connu un problème similaire en 2023, lorsque des certificats expirés sur des systèmes SD-WAN hérité hardware hérités ont entraîné l'arrêt des services de cloud computing, de stockage de données et de commerce électronique.
Ces incidents ont fait entrer la cybersécurité dans les mœurs. Cette visibilité accrue va au-delà de la sensibilisation des consommateurs ; les conseils d'administration et les cadres dirigeants doivent également accorder une plus grande attention aux risques de sécurité et à leurs conséquences potentielles.
Si cette attention accrue confère aux RSSI une place plus importante à la table des négociations, la visibilité n'est pas toujours positive. Les RSSI sont soumis à un examen minutieux de leurs décisions et la pression pour obtenir des résultats est forte.
La responsabilité personnelle est en jeu
Le rôle du RSSI a évolué de manière spectaculaire en réponse à cette surveillance accrue, tout comme le niveau de responsabilité personnelle. L'attaque de la chaîne d'approvisionnement de SolarWinds, par exemple, a donné lieu à des accusations de fraude. accusations de fraude portées contre le RSSI Timothy Brown ; chez Uber, une violation de données a donné lieu à une condamnation pénale et à une mise à l'épreuve de trois ans. trois ans de mise à l'épreuve pour l'ancien RSSI Joseph Sullivan.
Ces défis sont aggravés par les nouvelles réglementations visant à protéger le public, telles que la règle des quatre jours de la SEC en matière de divulgation. la règle des quatre jours de la SECou les prochaines mises à jour du NIST sur les algorithmes cryptographiques. Ces réglementations sont importantes et utiles pour améliorer les pratiques de cybersécurité, mais elles augmentent également la charge de travail et la complexité du rôle du RSSI.
Une approche à adopter pour éviter d'être sur la sellette ? "Si ce n'est pas écrit, ce n'est pas arrivé". Les RSSI qui disposent d'une documentation et d'un audit complets disposent d'informations sur lesquelles ils peuvent s'appuyer lorsqu'ils sont confrontés à des défis réglementaires ou à des enquêtes externes.
Sécurité et risque vont de pair
Bien qu'ils fournissent des conseils et des recommandations d'experts, le dernier mot revient souvent à d'autres cadres, aux membres du conseil d'administration ou aux chefs de service.
Par exemple, un RSSI peut recommander la mise en œuvre de l'authentification multifactorielle (AMF) pour Salesforce, mais si Salesforce appartient à l'équipe commerciale et relève de son budget, c'est elle qui en est responsable en dernier ressort et qui aura le dernier mot sur le déploiement de cette mesure. Une communication et une collaboration efficaces entre les RSSI et les autres parties prenantes sont essentielles pour créer un changement efficace et progressif.
Le rôle du RSSI implique en fin de compte à la fois la sécurité et la gestion des risques. Compte tenu des ressources limitées et des contraintes de temps, il est essentiel de hiérarchiser les efforts en fonction de l'appétence de l'organisation pour le risque. La compréhension de la tolérance au risque de l'entreprise est essentielle pour déterminer quelles mesures de sécurité doivent être mises en œuvre et à quel moment.
Les RSSI s'adaptent rapidement au nouveau paradigme
Travailler en tant que RSSI peut donner l'impression d'être sur la sellette. Alors que l'innovation technologique explose, il existe quelques approches communes pour calmer le jeu :
Tout documenter
Nous l'avons déjà dit, et nous le pensons vraiment : écrivez-le, et faites remonter le problème à votre équipe de direction. Cette approche méticuleuse de la documentation ne consiste pas seulement à conserver des dossiers, mais aussi à s'assurer que chaque évaluation des risques, chaque recommandation et chaque décision sont consignées sur papier.
Lorsqu'un RSSI identifie une menace potentielle ou une faille de sécurité, il la porte à l'attention de la direction, décrit les conséquences possibles et évalue l'appétence de l'organisation pour le risque afin que tout le monde soit sur la même longueur d'onde avant d'aller de l'avant. En cas d'incident ou d'audit, une documentation complète peut s'avérer salvatrice.
Intégrer les équipes chargées des questions juridiques et de conformité
Les réglementations peuvent être de puissants alliés dans la gestion des risques. Dans le nid de frelons des règles strictes et de la surveillance accrue, vos équipes juridiques et de conformité peuvent vous aider à orienter l'entreprise vers le bon niveau de risque - ni trop prudent, ni trop exposé. Les experts juridiques, en particulier, jouent un rôle dans l'identification du coût d'une erreur, ce qui peut vous aider à prendre une décision éclairée qui s'aligne sur les objectifs de l'entreprise et les objectifs de sécurité.
Obtenir un siège à la table et le garder
Il ne suffit plus aux RSSI de parler technique, ils doivent aussi être capables de parler le langage de l'entreprise. Les dirigeants veulent savoir non seulement quels risques sont atténués, mais aussi quelle est la valeur de chaque ligne du budget. Les RSSI qui peuvent clairement expliquer comment leurs stratégies réduisent les risques et contribuent aux objectifs généraux de l'entreprise ont plus de chances d'obtenir les ressources et le soutien dont ils ont besoin.
Tirer parti de l'expertise de partenaires stratégiques de confiance
Les fournisseurs de services gérés et d'autres partenaires stratégiques apportent une expertise spécialisée à votre entreprise, aidant les RSSI à hiérarchiser les compromis entre l'intégration de nouvelles technologies et la satisfaction des besoins spécifiques de l'organisation. Sur Keyfactor, nos services gérés PKI s'accompagnent d'un accès à des experts PKI qui peuvent aider les organisations à comprendre toute la portée de la gestion des certificats. Associez-vous à des experts dans la couverture qui manque à votre organisation pour prendre des décisions éclairées qui concilient l'innovation et la sécurité.
La collaboration, la communication et la documentation peuvent faire en sorte que le siège du RSSI soit un peu moins chaud - ou du moins que la chaleur soit répartie de manière à être gérable.
La communication et les partenariats sont l'avenir d'une cybersécurité réussie
Alors que le rôle du RSSI continue d'évoluer, la capacité à parler le langage de l'entreprise reste une nécessité. Une communication claire permet d'obtenir l'adhésion des principales parties prenantes et de transmettre les véritables risques et compromis inhérents à toute décision en matière de sécurité. Cette communication est essentielle pour aligner les stratégies de sécurité sur les objectifs de l'entreprise et pour permettre à l'organisation de comprendre et de soutenir les mesures de sécurité.
Le rythme rapide des avancées technologiques, de l'IA à l'informatique quantique l'informatique quantiqueprésente des défis et des opportunités pour la cybersécurité. Travailler avec des partenaires de confiance peut aider les RSSI à naviguer dans les technologies émergentes et les préparer à intégrer de nouvelles innovations sans compromettre la sécurité.
Consultez l'intégralité de la table ronde pour entendre directement les leaders du secteur parler de ce qui les préoccupe : les stratégies et les idées qui façonnent l'avenir de la cybersécurité.