Comment organiser la cybersécurité dans une petite organisation?

Comment organiser la cybersécurité dans une petite organisation?

Le rôle exécutif de la cybersécurité est important pour tout type d’organisation. Il existe des solutions peu couteuses d’avoir une super gouvernance des gestions de risques pour organisations de toutes tailles. Un diagnostic CISO-360 indiquera comment y remédier. 

Les meilleures pratiques de gouvernance nous dictent de séparer le rôle du responsable de la sécurité (CISO) et celui du responsable de l’informatique (CIO). Mais est-ce possible pour une petite organisation? 

J’observe comment la gouvernance de la sécurité est organisée auprès de nombreux clients. La capacité financière et humaine des plus petites organisations les oblige à jumeler ce rôle, et c’est tout à fait compréhensible. Par contre, ces 2 rôles peuvent être contradictoires. La priorité du CIO est de s’assurer que les systèmes soient disponibles le plus rapidement et facilement possible. Le CISO quant à lui, consiste à mettre des contrôles en place qui peut rendre les systèmes plus difficiles à accéder. En priorité quelle action gagne? La disponibilité. Un exemple concret, si le technicien chargé de vérifier les contrôles de sécurité quotidienne reçoit des demandes utilisateurs car un système n’est pas disponible, sa priorité y sera consacrée. L’équipe TI sera jugée sur sa réactivité à répondre aux usagers. C’est le bon comportement à adopter certes, mais au détriment de la cybersécurité.   

Il existe plusieurs options pour remédier à ceci. Une des options est d’externaliser les services de surveillance de cybersécurité. Les options sont multiples et les organisations auront accès à des outils et une équipe ayant une très grande connaissance des cybermenaces. Mais ce n’est pas suffisant. Un programme sain de cybersécurité regroupe des centaines de contrôles, autant stratégiques que tactiques. Les mettre en place et les maintenir demande de la rigueur. 

C’est là qu’intervient le CISO sur demande. Un responsable externe, qualifié en cybersécurité et surtout, neutre. Les exécutifs doivent avoir un moyen clair d’évaluer et comprendre, dans un langage clair, le niveau de risque de leur organisation, et ce, en tout temps. Les attaques sont un risque réel pour les organisations et en subir une peut geler les opérations pour plusieurs semaines. 

Les entreprises font des audits financiers pour valider la régularité, la conformité et s’assurer d’avoir une opinion fidèle de l’état comptable. C’est exactement ce que les organisations doivent faire avec leur programme de cybersécurité.   

Je vous invite à me contacter si vous désirez avoir plus d’information à ce sujet et visiter le site Web de Eficio. Nous avons une gamme de solutions stratégiques permettant aux organisations de gérer leur risque. 

Pièrre Farley
Associé - CIO EFICO