Priorité absolue entre les équipes de sécurité et informatique. On en serait loin, regrette Carbon Black, nouvelle filiale de VMware. CISO et CIO n’ont pourtant plus le choix.

En théorie, tout va bien. CISO et CIO s’entendent. C’est vrai en termes d’objectifs -prévention des violations, résolution des incidents, efficacité. Sur le terrain, c’est différent. 77,4 % des personnes interrogées par Forrester Consulting pour Carbon Black, évoquent une relation négative…

La relation entre CISO et CIO est au coeur du rapport VMware Carbon Black «2020 Cybersecurity Outlook». 55 % des répondants estiment également que la plus grande priorité pour leur entreprise devrait être d’encourager la collaboration entre leurs équipes informatiques et leurs équipes de sécurité au cours des douze prochains mois.

Le temps de la coopération

Pour plus de 50 % des répondants, ces deux équipes devront se partager les responsabilités dans des domaines clés tels que la sécurité des terminaux, la sécurisation de leur architecture et la gestion des identités/accès dans les trois à cinq années à venir.

«CISO et CIO doivent cesser de réfléchir à la manière d’obtenir des résultats par eux-mêmes. Le temps de la coopération est arrivé, estime Rick McElroy, l’un des auteurs du rapport. Nous avons besoin que les équipes informatiques recherchent des solutions de sécurité intégrées et non boulonnées. Il est temps que la sécurité fasse partie de notre ADN organisationnel. Il est temps que la sécurité devienne intrinsèque à la façon dont nous construisons, déployons et maintenons la technologie !»

Travailler ensemble, donc développer ensemble

CISO et CIO s’entendent sur la nécessaire réduction de la complexité. Pourquoi, dès lors, ne pas intégrer la sécurité dans les applications pendant le développement plutôt que de coller des rustines plus tard, notamment en achetant des solutions tierces ?

De même, CISO et CIO devraient pouvoir accéder ensemble au conseil d’administration. Cet alignement serait bien utile lorsqu’une approbation à haut risque potentiel est requise.

Décision finale : CISO + CIO

S’accorder sur qui est exactement responsable de ce qui est l’un des moyens les plus sûrs d’éviter les frictions dans tous les domaines d’une entreprise, et avoir un cadre décisionnel clair. Par exemple, la plupart des décisions de sécurité du réseau auront des implications au-delà de la sécurité, telles que les étapes d’accès et les temps de réponse des utilisateurs. Il peut être judicieux de prendre des décisions en fonction du domaine d’expertise d’un exécutif. Mais il est extrêmement important de bien comprendre à qui appartient la décision finale d’aller de l’avant ou non.

Dans cette approche commune, il peut être bon d’adopter une approche quantitative de la gestion des risques. Tous, en effet, ne sont pas égaux. Lorsque les services et les applications sont en concurrence pour les ressources de sécurité, il est logique de quantifier autant le risque potentiel et la probabilité d’occurrence.