IT Hero : Lee Barney, directeur de la sécurité des informations, Marks & Spencer
Savoir gérer les risques est une compétence essentielle chez un RSSI. Nous avons abordé le sujet avec Lee Barney, directeur de la sécurité des informations, Marks & Spencer, après son allocution sur les RSSI lors de l’événement InfoSec 2016. Lors de cet entretien, il nous a parlé en toute franchise de la gestion des risques et nous a donné son opinion sur le dilemme auquel font face les entreprises à l’heure du numérique : doivent-elles privilégier la sécurité ou l’agilité ?
Qu’est-ce qui a considérablement changé la donne pour les entreprises en matière de sécurité ?
Le rythme des changements. Je dis souvent que le changement est inévitable. De nombreuses personnes tentent d’y résister au lieu de l’accepter et finissent par le refuser, et donc par ne rien faire. En règle générale, elles agissent ainsi par peur du risque, mais l’inaction est finalement la décision la plus risquée.
Pourquoi ? Dans les faits, si votre entreprise ne prend pas de risques, d’autres le feront à sa place et vous finirez par vous faire distancer par la concurrence. Il peut s’agir d’une entreprise de plus petite taille qui n’a pas connaissance du risque, n’y prête pas attention, ou ne souhaite pas mettre en place des plans d’intervention ou de secours trop lents. Si cette entreprise vous vole une partie de vos ventes, vous êtes déjà perdant. Je pense qu’il n’existe pas de solution idéale. Vous ne devez pas ignorer les risques ni les craindre. Vous devez simplement les accepter, faire face aux problèmes potentiels et élaborer un plan en conséquence.
Quelle est la principale opportunité qui se présente aux RSSI aujourd’hui ?
L’ironie du sort veut que le plus grand défi des RSSI soit également leur plus grande opportunité : le cloud. Nous voulons profiter des avantages du cloud, à savoir son rapport qualité-prix, son évolutivité et sa rapidité. Mais pour cela, le partage est indispensable.
Selon moi, il ne fait aucun doute que les grands fournisseurs de solutions cloud assurent parfaitement leur propre sécurité, mais beaucoup s’inquiètent des conséquences inconnues d’une attaque. Pour autant, c’est une fatalité, vu l’environnement risqué dans lequel nous vivons. Toutefois, cela ne doit pas empêcher les RSSI d’investir dans la technologie cloud.
Dans quelle mesure le RSSI influence-t-il les achats informatiques ?
Le RSSI a pour mission de rechercher et d’exposer les faits. Assurez-vous que l’entreprise a bien connaissance des risques et que les propriétaires des données sont prêts à les accepter. La vie est faite de risques, mais nous devons prendre le temps de bien les comprendre et de réfléchir à la manière de minimiser leur impact. Si votre entreprise tire profit d’un produit, la sécurité ne devrait pas être un problème. Il faut simplement réaliser une évaluation objective des risques. C’est à vous, en tant que RSSI, de décrire la menace et son impact, et de pousser le reste de l’entreprise à l’accepter. Faire accepter les risques aux autres est une tâche ardue, mais ce n’est pas aussi difficile que ça l’était auparavant !
D’après mon expérience, ces menaces sont très rares, mais cela ne signifie pas qu’elles ne se produisent jamais. Élaborer un plan pour faire face aux incidents est utile, mais, dès le départ, il est essentiel de ne pas être trop alarmiste, de bien exposer les faits et d’impliquer les parties prenantes.
Quel conseil donneriez-vous aux RSSI ?
De nombreux RSSI ont résisté au changement parce qu’ils y voyaient des risques qui n’existent pas. Il s’agit d’un biais de confirmation : vous entendez parler de quelque chose encore et encore, et avant même de vous en apercevoir, vous cherchez des problèmes partout. Cette attitude est très répandue dans le domaine de la cybersécurité à l’heure actuelle, et je ne sais pas où tout cela nous mènera.
Je conseillerais aux RSSI de bien réfléchir : quels sont les risques auxquels leur entreprise est exposée et dans quelle mesure sont-ils susceptibles de se produire ? Le rôle d’un RSSI consiste simplement à exposer les faits.
Je pense qu’il est aussi important d’identifier les priorités. Elles ne seront pas les mêmes si vous travaillez dans le secteur du commerce ou au sein d’une administration, par exemple. Vous devez connaître l’origine et la nature des menaces pour pouvoir vous défendre. Si vous savez précisément qui peut infiltrer vos systèmes et pourquoi, vous pouvez déterminer clairement si une technologie multiplie les risques d’attaques ou présente une opportunité pour votre entreprise. Pour une entreprise appartenant au domaine de la vente et de la distribution, les avantages du cloud compensent largement les risques.
Pour en savoir plus sur les solutions cloud pour votre entreprise, consultez le site Web Dropbox Business.