Dans l’entreprise idéale, le CSO serait chargé de l’ensemble de la sécurité de l’entité

CISO ? CSO ? N’est-il pas temps de considérer le risque dans sa globalité ? La question est intéressante. Elle sera au cœur de la première table ronde des Luxembourg Internet Days le 19 novembre animée par Jean-Philippe Boever.

Dans l’entreprise idéale, le CSO (Chief Security Officer) serait chargé de l’ensemble de la sécurité de l’entité et le CISO (Chief Information Securtity Officer) travaillerait en connexion directe avec le CIO (Chief Information Officer) ; le directeur de la sécurité physique opèrerait également avec le CSO tout en conservant une relation de travail étroite avec le CISO.

Nous vivons dans un monde où les menaces de cybersécurité augmentent sans cesse, tant en termes de fréquence que de sophistication. Les attaques se sont multipliées cette année et se sont produites sur plusieurs fronts, du cyber-espionnage aux ransomwares. Il en sera question au cours de cette onzième édition des Luxembourg Internet Days, centrée sur trois thématiques : connectivité, DDOS et résilience. Trois speakers pour parler de ce lien entre CISO et CSO : Cédric Mauny, Strategic Advisor, Cybersecurity, Proximus Luxembourg, Flavius Plesu, Founder and CEO, OutThink et Jeff Schlentz, Head of Critical Infrastructure Protection Department, Haut-Commissariat à la Protection Nationale.

Catalyseur d’un changement

Cette évolution rend le rôle du CISO plus important et plus visible que jamais. Dans le même temps, nous voyons les entreprises faire face à la sécurité au sens large. De la pandémie aux inquiétudes géopolitiques, le niveau de conscience dans l’entreprise évolue. Assurer la continuité des activités et la résilience opérationnelle devient la priorité numéro un. Et dans toutes ces situations, les réponses sont toujours liées au numérique.

Il s’agit aussi de tenir en compte les nouveaux axes réglementaires, dont NIS2 et DORA. Tous deux supposent la mise en place de plans de résilience opérationnelle. Pour nombre d’observateurs c’est là, à tout le moins, le catalyseur d’un changement dans la façon dont les entreprises envisagent et organisent leur sécurité. Et qui dit sécurité… dit résilience.

Une réponse courante -initiée dans le monde financier- a été d’élargir le champ d’action du CISO à une fonction plus large de CSO. Par définition, le rôle du CSO est de s’occuper de tout ce qui augmente la résilience. Ce qui associe la cybersécurité, la sécurité physique et des employés, les fonctions anti-fraude et plus encore. Toutes ces tâches, qui étaient auparavant la responsabilité de nombreuses personnes, sont désormais regroupées sous un même toit pour une meilleure cohérence et une plus grande efficacité.

Une équipe de sécurité, une vision de la sécurité

L’avantage de cette configuration est que le CSO a plus de pouvoir, plus de ressources et plus d’influence auprès du conseil d’administration qu’un CISO ou les différents responsables de la sécurité qui existaient auparavant. Cela facilite la mise en œuvre du changement, d’autant plus qu’il n’y a désormais qu’une seule personne en charge de tout ce qui touche à la sécurité.

Lorsque tous les acteurs concernés par la sécurité travaillent dans la même équipe, il devient plus facile d’avoir une vision holistique de la sécurité. Plus aisé, aussi, d’anticiper. Pareille approche permet également de créer un centre de fusion. Autrement dit, un centre  d’opérations où toutes les équipes unissent leurs forces pour mieux détecter les fraudeurs ou les criminels qui tentent d’attaquer sur plusieurs fronts simultanément.