Le rôle du Chief Information Security Officer (CISO) n'a jamais été aussi difficile et crucial qu'aujourd'hui. Avec l'augmentation exponentielle des menaces cybernétiques, qui peuvent causer des dommages irréparables à la réputation, à confiance et au patrimoine des organisations, les CISOs doivent être préparés à faire face à un environnement de plus en plus complexe et dynamique
En 2024, Le Brésil a enregistré une augmentation significative des attaques informatiques. Au premier trimestre, il y a eu une croissance de 38 % par rapport à la même période de 2023, avec des organisations brésiliennes souffrant, en moyenne, 1.770 attaques hebdomadaires. Au deuxième trimestre, l'augmentation a été encore plus marquée, atteignant 67% par rapport à l'année précédente, avec une moyenne de 2.754 attaques hebdomadaires par organisation. Au troisième trimestre, le nombre moyen hebdomadaire d'attaques par organisation au Brésil a atteint 2.766, représentant une croissance de 95 % par rapport à la même période de 2023. Les secteurs les plus ciblés ont été ceux des finances, santé, gouvernement et énergie, étant donné que les principaux types d'attaques étaient des ransomwares, hameçonnage, DDoS et APTs (Menaces Persistantes Avancées)
Les CISOs doivent s'adapter à cette nouvelle ère d'attaques cybernétiques sans précédent – souvent en occupant plusieurs fonctions en même temps et, dans le cas du Brésil, gérer un scénario de réduction des coûts et d'investissements en cybersécurité
Le rôle du RSSI moderne
Le poste de CISO est relativement nouveau. Contrairement aux directeurs financiers ou aux directeurs exécutifs, la fonction de directeur de la sécurité de l'information n'existait officiellement qu'au milieu des années 1990
De plus, le rôle du CISO a constamment évolué au sein des organisations. Selon le rapport CISO 2023 de Splunk, 90 % des personnes interrogées croyaient que la fonction était devenue un « travail complètement différent » de celui qu'elles avaient commencé
Au début, le CISO était responsable de l'élaboration de politiques, gouvernance de la sécurité et mise en œuvre de contrôles de sécurité plus rudimentaires, ce qui amenait ce professionnel à avoir une vision beaucoup plus technique que managériale, aujourd'hui la liste des attributions a augmenté, et beaucoup. L'une d'elles, par exemple, c'est la fonction politique du poste : les CISO doivent avoir des relations de travail étroites avec le PDG, le CFO et le service juridique de l'organisation. Le budget du secteur de la Sécurité est une condition essentielle pour faire face à la myriade de menaces qui existent aujourd'hui
Et c'est ça, encore, c'est un problème pour les entreprises dans le monde entier, surtout au Brésil. La complexité du scénario apporte, d'un côté, un pays avec l'un des plus hauts taux d'attaques au monde. Pour l'autre, les incertitudes économiques et la fluctuation du dollar (puisque la grande majorité des solutions est vendue en devise étrangère) obligent les CISOs à jongler avec les ressources disponibles pour garantir la protection de l'entreprise
Bons communicateurs
Contra une image très ancrée dans le stéréotype du technicien dans le passé, aujourd'hui, le CISO doit jouer un rôle de leader et être un bon communicateur pour diriger la création d'une culture solide de sécurité cybernétique au sein de l'entreprise
Un autre point important est que les CISOs ne peuvent pas agir seuls dans la gestion de la sécurité de l'information. Ils doivent compter sur le soutien et la collaboration de l'écosystème externe, qui inclut des fournisseurs, clients, partenaires, organes de régulation, entités de classe et communautés de sécurité. Ces acteurs peuvent contribuer avec des informations, ressources, solutions et bonnes pratiques qui aident le dirigeant à améliorer et à renforcer la sécurité de son organisation. C'est pourquoi, la communication et la relation avec le marché sont également fondamentales
La sécurité doit partir d’une vision holistique
Il ne suffit pas d'avoir des outils et des processus de sécurité isolés et réactifs. Les CISOs doivent avoir une vision holistique et intégrée de la sécurité, qui englobe la culture et la sensibilisation des collaborateurs, jusqu'à la gouvernance et l'alignement avec les objectifs commerciaux
La sécurité doit être considérée comme un élément transversal et essentiel à la continuité et à la croissance de l'organisation, et non comme un coût ou une barrière. Pour cela, les CISOs doivent impliquer les autres départements et les dirigeants de l'entreprise, démontrant la valeur et le retour de la sécurité, et en établissant des politiques et des indicateurs clairs et mesurables
Un sentiment d’urgence est essentiel pour anticiper les menaces
Les menaces cybernétiques sont en constante évolution et sophistication, et peuvent affecter n'importe quelle organisation, indépendamment de la taille ou du secteur. C'est pourquoi, il est important d'être toujours attentif et à jour sur les tendances et les vulnérabilités du marché, et investir dans des solutions et des méthodologies qui permettent de s'anticiper aux menaces et aux risques
Une des façons de le faire est d'adopter une approche de sécurité par conception, qui intègre la sécurité depuis la conception jusqu'à la livraison des produits et services de l'organisation. Une autre façon est de réaliser des tests et des simulations périodiques qui évaluent l'efficacité et la résilience des systèmes et des processus de sécurité, et identifient des opportunités d'amélioration et de mitigation
Bien que le rôle du CISO soit encore en transformation, ce professionnel est un élément clé pour la protection et l'innovation des organisations à l'ère numérique. Les CISOs doivent être préparés à faire face à un niveau sans précédent de menaces, qui exigent une gestion proactive de la sécurité de l'information, stratégique et collaborative
Enfin, les CISOs doivent garder à l'esprit que la sécurité de l'information n'est pas seulement une question technique, mais aussi un facteur de compétitivité et de valeur pour les clients. Ceux qui parviendront à aligner la sécurité avec les objectifs commerciaux et les attentes des parties prenantes, et qui sauront communiquer les avantages et les défis de la sécurité de manière claire et convaincante, ils seront capables de construire une culture de sécurité forte et durable au sein de l'organisation, et de contribuer à votre succès et à votre croissance dans le paysage numérique
