5 priorités pour les CISO afin de rétablir un bon équilibre en 2022

Près de 9 directeurs de la sécurité de l'information (CISO) sur 10 indiquent que leurs systèmes existants ont protégé leur entreprise dans le cadre de la transition vers le télétravail, face à une pénurie continue de main-d'œuvre et face à un énorme pic dans les attaques de cybersécurité. Mais cette réussite a eu un coût : 64 % déclarent qu'ils sont plus stressés qu'il y a un an. 

Comment les CISO peuvent-ils affronter les nouvelles problématiques qui se présentent en 2022 tout en retrouvant un bon équilibre ? 

Nous avons demandé aux CISO, aux professionnels de la sécurité et à d'autres experts les domaines dans lesquels les leaders de la sécurité devraient investir leur temps, leur énergie et leurs ressources pour l'année à venir. Voici les cinq domaines concernant le personnel, les outils et les méthodologies qui, d'après eux, devraient être prioritaires pour cette nouvelle année.

1. Protégez vos effectifs hybrides

La transition vers des environnements de travail hybride à long terme présente des problématiques de sécurité que peu d'entreprises ont rencontrées, indique Katie Teitler, vice-présidente de la recherche chez TAG Cyber, entreprise de recherche en cybersécurité.

"En 2021, l'enjeu était de mettre en place le télétravail de façon sécurisée", ajoute-t-elle. "Le travail hybride est un autre paradigme. Les CISO doivent équilibrer productivité des employés et sécurité d'une manière inédite."

Si en 2021, la priorité portait sur les bases de la sécurité, en 2022, l'attention sera mise sur les possibilités d'amélioration. Les professionnels de la sécurité s'appuieront davantage sur les tactiques et les processus pour s'assurer que chaque appareil est bien verrouillé. Les responsables de la sécurité devront gérer les accès et mettre en place les normes de gouvernance pour une population d'employés travaillant aussi bien sur site qu'à domicile, à partir d'appareils personnels et professionnels qui n'ont pas toujours bénéficié des correctifs logiciels ou des mises à jour importantes lors de la pandémie.

Pour bon nombre d'organisations, cela implique d'investir davantage dans une solution cloud de réponse et de détection étendues, ou XDR, qui combine à la fois la gestion des informations de sécurité et des événements (SIEM), la détection et la réponse aux points de terminaison (EDR), l'analytique et la veille, ainsi que dans des outils de gestion des identités et des accès.

D'après Katie Teitler, des effectifs hybrides en 2022 "impliqueront de prendre en charge un plus large éventail de types de technologies et d'exigences d'accès".

2. Adoptez des frameworks Zero Trust

En mai 2021, l'ordre exécutif du président Joe Biden, requérant des améliorations au niveau de la cybersécurité nationale, faisait référence à la méthodologie Zero Trust. Il s'agit d'une méthodologie de sécurité, accompagnée d'un framework, conçue à partir de l'idée selon laquelle il ne faut pas faire confiance au trafic sur les réseaux d'entreprises, même si celui-ci provient d'utilisateurs authentifiés.

Le framework de sécurité Zero Trust est en train de devenir un outil essentiel dans l'arsenal d'un CISO, car il contraint les équipes à repenser la façon dont un accès réseau fonctionne et à examiner de façon plus minutieuse les produits dont elles se servent.

D'après les experts, en 2022, les équipes de sécurité devront mieux appréhender les méthodologies et les produits Zero Trust, et être prêtes à les mettre en œuvre. Bon nombre d'entre elles s'y sont mises lors de la pandémie : La crise a poussé 60 % des entreprises à accélérer leur adoption de stratégies Zero Trust.

"Une approche Zero Trust est à l'opposé de l'adage qui dit de faire confiance, mais de vérifier", indique Nate Fick, directeur général de la sécurité chez Elastic. "Il s'agit d'une approche de gestion des risques qui implique de n'avoir confiance en rien et de garder une trace de toute chose. Avec une stratégie Zero Trust, la sécurité peut mettre en place un accès plus intelligent aux systèmes et aux données, tout en assurant un haut niveau de protection."

3. Automatisez les workflows de sécurité

Les systèmes de sécurité deviennent de plus en plus complexes. Il n'est donc pas possible pour les analystes humains de surveiller scrupuleusement l'ensemble des menaces réelles et potentielles de manière continue. Ils doivent donc s'appuyer davantage sur l'automatisation des processus robotisés (APR) et autres outils pour automatiser les workflows des tâches répétitives.

"L'automatisation devrait libérer du temps pour les équipes de sécurité afin qu'elles se consacrent à des analyses plus importantes", indique Katie Teitler.

Pour les organisations de sécurité qui utilisent des frameworks Zero Trust, les outils d'automatisation peuvent également gérer les problèmes de routine par eux-mêmes et faire remonter uniquement les incidents qui nécessitent une intervention humaine. Ainsi, les analystes en sécurité surchargés ont plus de temps à consacrer aux menaces plus importantes.

4. Mettez tout en œuvre pour faire "grandir" votre équipe

C'est le bon moment pour réévaluer les compétences de votre équipe de sécurité et identifier les lacunes (et pas seulement les lacunes techniques). Le développement et le renforcement de la perspicacité en affaires et des compétences non techniques relèvent désormais des responsables de la sécurité.

Pour Liz Tluchowski, DSI et CISO de World Insurance Associates, compagnie d'assurance basée au New Jersey comptant 1 400 employés dans 131 agences aux États-Unis, la grande priorité pour l'année à venir est d'aider son équipe de sécurité à approfondir ses compétences en analytique des affaires et ses stratégies de communication. Étant donné que les professionnels de la sécurité jouent désormais un rôle essentiel dans l'équipe de direction, ils doivent comprendre l'intégralité du processus de l'entreprise et doivent pouvoir expliquer où ils interviennent.

Les CISO doivent aussi investir leurs efforts dans la mise en place d'une culture de la sécurité à l'échelle de l'organisation. Après tout, les cyberattaques les plus courantes ne viennent pas de défaillances techniques, mais bien de l'ingénierie sociale ou du hameçonnage qui exploitent l'erreur humaine.

"Les professionnels de la sécurité doivent apprendre à traduire les arcanes de leur travail dans la langue des risques métier", indique Nate Fick. Mais il est également important que les chefs d'entreprise consacrent du temps à la compréhension du langage de la sécurité. "Les bonnes équipes et les bons comités de direction doivent se rejoindre sur un terrain d'entente", ajoute-t-il.

5. Ne laissez pas votre équipe se tuer à la tâche (c'est valable pour vous aussi)

S'il y a bien une priorité que les CISO ne doivent pas perdre de vue en 2022, c'est de préserver un bon équilibre vie professionnelle/vie personnelle. Pas seulement pour leurs équipes, mais aussi pour eux-mêmes. Avant que le COVID-19 n'envoie les équipes opérationnelles gérer les cyberrisques depuis chez elles, ces dernières traitaient en moyenne plus de 110 000 alertes de sécurité par jour, d'après une étude de Forrester de 2020. Moins de la moitié ont réussi à garder le rythme (47 %).

Lors de la mise au point de modèles d'équipes hybrides, les responsables doivent s'assurer que chaque membre dispose d'un temps libre suffisant en dehors du travail.

Même si des enjeux majeurs se profilent pour 2022, les CISO intelligents peuvent déjà se tourner vers l'avenir lorsqu'ils réfléchissent à des solutions pour résoudre ces problématiques émergentes. En adoptant des stratégies de sécurité novatrices, comme le Zero Trust, et en améliorant leur tactique d'automatisation, ils seront mieux placés pour répondre aux exigences d'une nouvelle force de travail hybride.