Opinion : Aligner la sécurité sur l’activité ? Il est temps de relâcher la pression sur les RSSI
Il n'y a probablement pas thème plus récurrent que celui de l'alignement de la sécurité informatique avec les objectifs des entreprises : comprenez votre entreprise en premier, puis construisez votre sécurité pour supporter et protéger l'entreprise; nobles objectifs et mission grisante à coup sûr.
Je suis aussi coupable que n'importe qui d'écrire des articles centrés sur la notion d'alignement. Mais peut-être n’est-ce qu’une notion trop abstraite ? Peut-être que c'est le terme «objectifs» qui est inapproprié ? Peut-être que nous devrions écrire sur l'alignement de la sécurité avec les mandats de l’entreprise ? L'objectif de la majorité, sinon la totalité, des entreprises est gagner de l'argent. Et les RSSI ne sont certainement pas ceux qui tirent les ficelles à l'intérieur de l’entreprise. On vous dit quoi faire, quoi acheter et quand l'acheter. Si votre DSI ou DAF dit que votre priorité est la conformité SOX, devinez ce qui est au sommet de votre liste de choses à faire chaque jour ?
Il est facile pour les journalistes ou les experts de l'industrie, comme le panel de la semaine dernière à InfoSecWorld, de se caler sur un perchoir au sommet de la tour d'ivoire et de pontifier sur ce doivent faire ceux qui détiennent effectivement la responsabilité de la sécurité informatique de l’entreprise, avec leurs programmes, politiques et les décisions d'achat. Mais est-il réaliste pour un RSSI d'entrer dans le bureau du directeur financier et de taper du poing sur la table pour qu’il approuve une révision majeure du périmètre des investissements de sécurité défini 10 ans plus tôt par quelqu’un d’autre ?
Idéalement, ces choses doivent être révisées car elles ne fonctionnent plus. Mais le Titanic ne pouvait pas virer de bord brutalement il ya 100 ans, et les grandes entreprises ne le peuvent pas plus d'aujourd'hui. Les autres priorités qui permettent de faire rentrer de l'argent dans les caisses n’ont pas de mal à attirer l'attention des décideurs de l'entreprise lors de l’établissement des budgets, bien avant en tout cas qu’un nouveau projet de sécurité ne reçoive le tampon «approuvé» par le DAF ou le PDG.
Tirer à vue sur les responsables de la sécurité qui doivent composer avec un budget qui maintient essentiellement le statu quo ne fait pas avancer l'industrie. Tirer à vue sur les responsables de la sécurité qui n'ont pas d'autre choix que d'écouter les auditeurs ne fait pas non plus avancer l'industrie.
Idéalement, oui, l’objectif d’alignement des objectifs de sécurité sur ceux de l’entreprise est séduisant. Inutile de savoir comment et pourquoi l’entreprise gagne de l'argent : il faut travailler en priorité dans ce sens. Et il est nécessaire que comprendre qui sont les adversaires et quelles sont leurs tactiques pour pénétrer vos défenses. Mais au final, si votre patron vous dit quelque chose de complètement déconnecté de vos idéaux, cela ne signifie pas forcément que vous n’êtes pas un bon responsable de la sécurité. Cela signifie juste que vous êtes un employé comme un autre.
Par Michael S. Mimoso, SearchSecurity.com
Adapté de l’anglais par la rédaction.