Quelles leçons les CISO peuvent-ils retirer de la crise que nous avons traversée ? Au regard des événements vécus, comment leur fonction a-t-elle évolué ? Pour les responsables de la sécurité informatique, si l’on en croit Vincent Laurens et Lars Weber, respectivement CISOs de Quintet Private Bank et de la BCEE, il y aura un avant et après COVID.

Le CISO s’élève au service du business

« Avec l’arrivée du COVID, nous avons d’abord eu à répondre au régulateur, qui était soucieux des mesures mises en œuvre pour garantir la résilience opérationnelle de l’activité, se remémore Vincent Laurens. Avec cette crise, surtout, le CISO a intégré le business. Rapidement, et en bonne intelligence, avec une grande flexibilité et en faisant preuve de pragmatisme, il a fallu mettre en place une série de mesures pour garantir la continuité des services tout en répondant aux attentes du régulateur. » A ce titre, le CISO a vu ses missions étendues, le business exigeant de lui d’acquérir de nouvelles compétences. « Afin de garantir le maintien des opérations, il nous a fallu regarder la problématique en adoptant le point de vue du business, et plus uniquement sous l’angle technique ou informatique, confirme Lars Weber. Nous sommes devenus les garants de la résilience opérationnelle de l’activité. »

S’adapter à un contexte inédit

La propagation du virus dans nos sociétés a été accompagnée de l’émergence d’autres menaces, les cybercriminels ne manquant pas de profiter de la situation. Des collaborateurs isolés, à distance, de nouvelles habitudes de travail, des environnements plus ouverts… Les ingrédients semblaient réunis pour mener à bien de nouvelles attaques. Les CISO, au regard des nouveaux processus en place, ont dû s’adapter à ce contexte, en intégrant de surcroit les exigences réglementaires et légales qui se sont imposées. Une fois qu’il est devenu évident que les mesures encourageant et facilitant le télétravail allaient être prolongées, l’enjeu a été d’établir de nouveaux contrôles de sécurité, de prendre des mesures pour garantir la sécurité en mode distribué. « Il a été nécessaire de déployer de nouveaux moyens de protection, de mettre en œuvre des contrôles avancés tout en sécurisant de nouvelles applications business qui n’existaient pas jusqu’alors, comme la signature électronique, explique Vincent Laurens. Mais, surtout, il a fallu redoubler d’effort pour sensibiliser chacun aux enjeux de sécurité dans ce nouveau contexte. »

Sécuriser l’activité, contribuer à sa transformation

Quelques mois plus tard, les CISOs peuvent tirer les premières leçons de cette crise. Parmi ce que retiennent les deux invités d’Excellium Services, il y a un changement de perception, tant du côté des régulateurs qu’au niveau du leadership de l’entreprise, à l’égard de la fonction de CISO. « Il y a une nouvelle prise de conscience autour des risques liés à la sécurité de l’information, qui nous amène de plus en plus à nous positionner en tant que fonction exécutive, assure Vincent Laurens. Notre rôle, plus que jamais, est de veiller à sécuriser l’activité, mais aussi de contribuer à sa transformation. » La crise, test grandeur nature de la résilience des entreprises, a mis en exergue le rôle du CISO, le positionnant entre le département informatique et les équipes en charge de la gestion des risques. « Cette période a révélé que l’IT et la sécurité ne pouvaient plus être considérés en dehors du métier, mais qu’au contraire ce dernier devait pouvoir s’appuyer sur ces deux dimensions », poursuit Lars Weber. En regardant vers l’avenir, les CISOs s’accordent aussi sur l’importance de tenir compte des événements vécus pour adapter le cadre de gestion des risques et les plans de réponse à une crise.