Les premiers pas du nouveau RSSI
Un défi de taille la cybersécurité
C’est le J1, vous venez de franchir les portes de votre nouvelle entreprise, vous êtes le nouveau Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une PME en pleine croissance dans le secteur des télécommunications.
Le Directeur Général vous accueille avec un grand sourire ; il est portant inquiet et ne vous l’a pas caché lors du processus de recrutement. Les incidents de sécurité se sont multipliés au cours de la dernière année : infection virale qui a touché une importante partie du parc informatique, site web piraté avec en prime une fuite de données, assistante comptable victime d’une arnaque au faux virement.
Si l’entreprise veut continuer sa croissance et rassurer ses clients et prospects, de plus en plus exigeants, elle doit absolument monter son niveau de sécurité. C’est votre mission ; la tâche n’est pas simple, mais vous avez relevé le défi.
À vous de jouer : auditer les sécurité informatique
Par où commencer ? S’enfermer dans le bureau et plonger dans l’écriture d’une politique de sécurité ? Identifier les comportements à risque des salariés et rédiger une communication générale pour donner le ton dès le début ? Proposer l’achat urgent d’équipements de sécurité de dernière génération ?
Non, le plus urgent est de comprendre les enjeux métiers et DSI. La sécurité est au service du business. Sa mission est de le protéger et de lui permettre de s’épanouir.
Fort de cette conviction, voici le plan de démarrage que vous avez élaboré :
- Rencontrer les responsables métier afin qu’ils vous décrivent leur activité, qu’ils expriment leurs contraintes, leurs priorités et leurs ambitions. Les informations récoltées seront très précieuses pour la suite ;
- Rencontrer le DSI et ses équipes afin de comprendre le fonctionnement du système d’information, avec ses forces et ses faiblesses. Vous n’êtes pas là pour serrer la vis et épingler tout écart de sécurité, mais pour ramer dans le même sens et mettre toutes vos compétences au service de la sécurisation du SI.
Fort des éléments récoltés dans ces premiers entretiens, vous êtes désormais en mesure d’identifier les processus clés et les informations critiques à protéger.
La partie commence sur la partie cybersécurité
Il est temps d’y voir plus clair sur le niveau de maturité cyber de l’entreprise. Il faut avancer sur deux volets : organisationnel et technique. Des états des lieux s’imposent. Comment avancer ?
Il n’est pas question de réinventer la roue, il faut s’appuyer sur un référentiel reconnu et éprouvé et identifier les écarts. Le Guide d’hygiène informatique de l’ANSSI est parfait pour cet exercice.
Librement téléchargeable, il présente les 42 mesures d’hygiène informatique essentielles pour assurer la sécurité d’une entreprise, quelle que soit sa taille, organisées en 9 chapitres :
- Sensibiliser et former
- Connaître le système d'information
- Authentifier et contrôler les accès
- Sécuriser les postes
- Sécuriser le réseau
- Sécuriser l'administration
- Gérer le nomadisme
- Maintenir le système d'information à jour
- Superviser, auditer, réagir
Votre plan est très simple : il s’agit de remplir un tableau qui liste les 42 mesures, et pour chacune d’entre elles indiquer le niveau de conformité, de zéro à cinq :
- 0 : rien n’est en place, ni planifié
- 1 : la volonté de progresser dans le domaine a été identifiée, mais l’effort n’en est qu’à ses balbutiements
- 2 : des éléments de conformité sont présents, mais presque rien n’est documenté
- 3 : des éléments de conformité sont présents, avec une certaine documentation associée
- 4 : l’exigence est globalement respectée et la documentation tient la route
- 5 : l’exigence est entièrement respectée
Le cap est donné
Ça y est, au bout de quelques jours vous avez dans les mains les résultats de l’analyse. Comme prévu, ils ne sont pas brillants, mais au moins l’horizon s’éclaircit.
En croisant l’étude de conformité avec les éléments récoltés dans les premiers entretiens, vous pouvez désormais proposer un premier plan d’action incluant les mesures les plus urgentes, destinées à protéger les processus et informations identifiés comme les plus critiques.
Vous allez devoir gagner l’approbation et le soutien de la Direction Général, sans lesquels l’effort est voué à l’échec.
Il y a du travail et vous n’y arriverez pas seul… mais, comme on disait dans la Rome antique, « Dimidium facti, qui coepit, habet » : bien commencer, c'est avoir à moitié fini. Par ailleurs, Rome ne s’est pas faite en un jour !
Vous souhaitez devenir RSSI ou super héros de la cybersécurité ? Inscrivez vous à notre série de webinaires
Pour en savoir plus sur ma formation chez Human Station sur la cybersécurité ou sur la certification Azure