CISO, CIO, DPO… responsabilités complémentaires

La sécurité est devenue un enjeu essentiel pour la prospérité des entreprises. Cependant, leurs responsables peinent encore à faire entendre leur voix au plus haut niveau. Les rôles de chacun sont encore mal considérés et les mandats peu clairs. CISO, le CIO et le DPO sont des fonctions complémentaires et indépendantes, dont l’autorité individuelle doit être mieux prise en considération.

Koen Maris, Director and Cybersecurity Leader at PwC Luxembourg.

On a beaucoup parlé de cybersécurité, ces dernières semaines au Luxembourg. Au cœur de la Cybersecurity Week, de nombreux sujets ont été abordés, mettant en lumière l’importance de ces enjeux aujourd’hui. « Cependant, si l’on voit que les CEO s’intéressent de plus en plus aux enjeux cyber, beaucoup peinent encore à développer des visions claires et à intégrer la sécurité au cœur même de la stratégie et de la gouvernance de leur entreprise », commente Koen Maris, Cybersecurity Leader au sein de PwC Luxembourg.

En cause, notamment, une confusion des rôles de chacun, entre le CIO, le CISO et le RSSI ou encore le DPO… « Fait est que chacune de ses fonctions répond à des préoccupations bien distinctes. Toutes partagent des objectifs communs – la préservation globale de la donnée notamment – mais ont aussi des intérêts divergents, entre développement business, gestion des risques et protection de la vie privée par exemple. Dans toutes les entreprises, il faut que chaque rôle soit bien défini et que chacun, de manière indépendante, puisse mieux faire entendre sa voix et faire valoir son autorité », poursuit Koen Maris.

 

La sécurité au-delà du RGPD

Aujourd’hui, toutes ces fonctions devraient être représentées au sein du comité exécutif. Or, dans beaucoup d’organisations, elles peinent à y faire entendre leur voix. « L’accent mis sur le Règlement Général des Données Personnelles (RGPD), il y a quelques mois, a eu le mérite de mettre en avant la nécessité de mieux protéger les données personnelles que l’on détient, précise Frédéric Vonner, Partner, Privacy Leader au sein de PwC Luxembourg. Cependant, les débats ont aussi créé une certaine confusion, mettant souvent l’accent sur la protection des données uniquement. Or, ne considérer que les enjeux de protection, c’est disposer d’une vision très limitée des objectifs poursuivis par ce règlement. Celui-ci veut avant tout obliger les entreprises à traiter ces données en bon père de famille, dans le respect des droits de chacun. » A ce titre, le DPO a donc une fonction bien particulière dans l’entreprise, dont on commence seulement à comprendre tous les contours et qui est indépendante de celle du CISO ou du CIO.

 

CISO et CIO, deux fonctions complémentaires

Le CISO et le CIO sont également deux fonctions bien distinctes et indépendantes. « On a aussi tendance à confondre la fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI), qui est sous la responsabilité du CIO, et celle du CISO, qui veille à la sécurité globale de l’information, que celle-ci soit placée sur des serveurs ou non, qu’elle relève de la donnée personnelle ou non, ajoute Koen Maris. CIO et CISO sont des fonctions complémentaires. Le CIO participe à la première ligne de défense quand le CISO est responsable de la deuxième. Le CISO doit pouvoir définir une politique de sécurité globale qui devra être mise en œuvre au sein du département informatique. »

 

Frédéric Vonner, Partner & Privacy Leader – PwC Luxembourg

Mieux protéger mais aussi créer de la valeur

Toutes ces fonctions distinctes doivent donc pouvoir faire entendre leur voix, faire valoir leur autorité, et ce au niveau du board. Si la thématique cybersécurité est à l’agenda des dirigeants, il faut désormais voir comment elle peut être mise en œuvre pour apporter des réponses efficientes aux nouveaux risques cyber. « La protection de l’information est essentielle à la survie de l’entreprise. Mais au-delà de l’exigence de mieux contrôler, il est tout aussi essentiel de pouvoir envisager les possibilités de création de la valeur au départ d’une bonne utilisation de l’information. C’est pourquoi nous pensons que les différentes fonctions évoquées, en charge de la protection et de la valorisation des données, ont leur place au niveau du comité exécutif, tout comme le compliance et l’audit interne doivent y être représentés dans les institutions financières », commente Frédéric Vonner.

 

Inscrire son entreprise dans l’ère de la donnée

A cette fin, la sécurité, la protection et la valorisation de l’information doivent être davantage reconnues comme des fonctions centrales pour les organisations. « A l’ère numérique, on a encore tendance à diriger les structures comme on le faisait dans les années 20, avec un CEO, principalement en charge du développement commercial, un CFO, dont la mission sera souvent de le tempérer, et des représentants en charge des opérations, résume Koen Maris. Peu semblent avoir réellement pris conscience de l’importance critique de la donnée dans l’écosystème actuel. Ce n’est en outre que si l’on arrive mieux à intégrer les enjeux de gestion de la donnée au cœur de la stratégie de l’entreprise que l’on pourra mettre en œuvre des approches plus efficientes de sécurisation. » Celles-ci ne doivent plus chercher à éviter l’incident à tout prix, mais doivent avoir pour objectif de mieux se préparer à toute éventualité, de détecter plus rapidement les problèmes pour mieux y remédier.

Aucun commentaire pour le moment.

Réagissez à cet article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *