Nick Espinosa est un expert en cybersécurité de renommée internationale et conférencier principal lors de la première édition de Devolution Central Online en 2020! Il a énuméré ce qu’il nomme les « cinq lois de la cybersécurité » :
•,Première loi : S'il y a une vulnérabilité, elle sera exploitée.
•,Deuxième loi : Tout ce qui existe est vulnérable.
•,Troisième loi : Les humains accordent leur confiance, même s’ils ne devraient pas.
•,Quatrième loi : Les innovations comportent des risques d’exploitation.
•,Cinquième loi : En cas de doute, référez-vous à la première loi.
Ce qu’il faut retenir, c’est qu'un programme de cybersécurité solide, conforme et révisé en permanence n'est pas facultatif. C’est obligatoire! Une seule brèche de données peut coûter des centaines de milliers, voire des millions de dollars en perte de productivité, en enquêtes et en mesures correctives. Ajoutons à tout cela la perte de clientèle, l’atteinte à la réputation, les poursuites judiciaires et les amendes.
Ce qui nous amène à la question du sondage du mois de juillet : Qui est le responsable de la cybersécurité dans votre entreprise?
Notre objectif est de mieux comprendre le titre/rôle de la personne (ou de l’équipe) chargée de mettre en œuvre des plans, des stratégies, des techniques, des systèmes, des plates-formes et des outils d'atténuation des risques, afin de protéger les données contre les cybermenaces.
Les réponses
Nous comptions obtenir un nombre assez important de réponses. La mauvaise nouvelle est que nos attentes n'ont pas été atteintes. La bonne nouvelle est qu'elles ont été DÉPASSÉES! En fait, cette question s'est avérée être l'une des plus populaires de notre sondage. Voici un aperçu des réponses, qui sont classées par individu et par groupe :
Individu
•,L'intitulé de poste le plus courant de la personne responsable de la cybersécurité est directeur informatique (ou directeur des TI).
•,Le second est le responsable de la sécurité de l'information (chief information security officer ou CISO).
•,Le troisième est l’administrateur système (system administrator ou SysAdmin)
Les autres titres de poste sont : gestionnaire de la sécurité de l'information, gestionnaire en cybersécurité, chef de la sécurité (chief security officer ou CSO), directeur des données (chief data officer ou CDO), directeur des systèmes d'information (chief information officer ou CIO) et directeur de la sécurité et de l'information.
Groupe
De nombreux membres de la communauté nous ont dit qu'un groupe ou une équipe, plutôt qu'un individu, est principalement ou complètement responsable de la cybersécurité de leur entreprise :
•,Le groupe ou l’équipe prenant fréquemment en charge la cybersécurité est le groupe de cybersécurité.
•,Le deuxième groupe ou équipe est le bureau de la sécurité de l’information.
•,Le troisième groupe ou équipe est le département informatique.
La contribution de tous est primordiale
Il est par ailleurs révélateur que plusieurs membres aient déclaré que tout le monde est impliqué dans la cybersécurité de leur entreprise. Par exemple :
•,Ben Liebowitz : Je dis toujours que la contribution de tous est primordiale. L’ensemble de la compagnie est concerné! Des secrétaires aux informaticiens en passant par l’équipe Infosec. Nous devons rester en alerte, surveiller ce sur quoi nous cliquons, etc.
•,Justpaul : « Chacun est responsable jusqu'à l'utilisateur final ».
•,Wilfred Oskam : « Je pense que tout le monde est responsable, du plus haut dirigeant de l'entreprise jusqu'à l'utilisateur final. Ce sont eux les premiers à faire face aux logiciels malveillants ou à l’hameçonnage ».
•,Jwalant Natvarlal Soneji : « Chacun doit jouer son rôle ».
•,Abhijeet Vaidya : « Chaque employé, qu'il soit permanent ou contractuel. C'est une responsabilité collective. »
•,Commentateur anonyme : « Tout le monde est responsable de la sécurité, car cela demande un effort de chacun ».
•,dotnVO : « Chez nous, chaque personne est chargée de la cybersécurité. Nous avons tous un rôle à remplir. Pour être franc, c’est un fait dans la plupart des organisations même si celles-ci ne le savent pas ».
Nous sommes totalement en accord. Bien que des individus ou des groupes/équipes sont en définitive responsables de la cybersécurité (en espérant que ceux-ci disposent des ressources, du budget, et de l’autorité nécessaires), il incombe à chacun de protéger l'entreprise contre les cybermenaces.
Les gagnants sont...
Tout d’abord, vous êtes TOUS gagnants, car vous êtes des acteurs clés de la solution de cybersécurité de votre entreprise (ce qui est essentiel). Considérez les choses sous cet angle : la perte d’un client important ou l’augmentation des coûts (la chaîne d’approvisionnement en particulier!) sont des situations pénibles et malheureuses. En revanche, être victime de pirates informatiques peut être désastreux, car 60 % des petites entreprises disparaissent dans les six mois suivant une cyberattaque. Vous devriez être tous fiers de votre contribution. Les héros ne portent pas tous une cape (certains sont en chemise hawaïenne et en sandales comme la bande du Sysadminotaur!).
À présent, dévoilons les noms des deux participants au sondage tirés au sort qui gagneront chacun une carte cadeau Amazon de 25 dollars. Félicitation à Wilfred Oskam et Thomas Higgins! Veuillez envoyer un courriel à lcadieux@devolutions.net pour réclamer votre prix.
Ne manquez pas le prochain sondage
Vous cherchez la question du mois d’août? Elle arrive bientôt!