Le rôle du RSSI continue d’occuper le devant de la scène en tant que catalyseur de l’entreprise : les RSSI doivent naviguer dans le paysage complexe des menaces numériques tout en favorisant l’innovation et en garantissant la continuité des activités. Trois RSSI ; Troy Wilkinson, RSSI chez IPG ; Rob Geurtsen, ancien RSSI adjoint chez Nike ; et Tammy Moskites, fondatrice de CyAlliance et ancienne RSSI dans des entreprises comme Warner Brothers et Home Depot – ont partagé leurs points de vue sur la manière de gérer un SOC efficace en 2023.
1) Donner la priorité à la rentabilité tout en restant « sécurisé »
En tant que conférencier de renommée mondiale, co-auteur d’un best-seller d’Amazon et commentateur de confiance sur des réseaux d’information de premier plan tels que NBC, CBS et Fox, Troy Wilkinson connaît une chose ou deux en matière de cybersécurité. Lorsqu’ils adoptent de nouvelles technologies, Troy souligne que les RSSI n’ont pas le luxe d’attendre des mois ou des années pour voir la valeur des nouveaux investissements ; « Le délai de création de valeur est crucial. Les nouvelles solutions doivent générer de la valeur rapidement. »
Rob Geurtsen, ancien RSSI adjoint chez Nike, a rejoint Hunters en tant que RSSI en résidence l’année dernière. Rob estime qu’en période d’incertitude économique, les RSSI devraient optimiser le centre d’opérations de sécurité (SOC) en réalisant des investissements stratégiques qui génèrent des avantages à long terme. Il est essentiel d’évaluer les meilleurs projets et de se concentrer sur les « incontournables ». Les RSSI doivent se demander ce qui doit être accompli dans l’année en cours et ce qui peut être reporté à l’année suivante.
Troy et Rob recommandent tous deux d’aligner les initiatives de sécurité sur des mesures de réduction des coûts et de démontrer les avantages à long terme aux dirigeants de l’organisation.
2) Utiliser l’automatisation pour améliorer l’efficacité du SOC
Tammy Moskites et Rob Geurtsen conviennent tous deux que l’automatisation est systématiquement soulignée comme une priorité pour les RSSI. Les outils d’automatisation rendent le rôle des analystes SOC plus productif en rationalisant la détection et la réponse aux menaces. Tammy et Rob soulignent tous deux que la grande quantité de données produites et conservées par les organisations nécessite des outils d’analyse efficaces. L’automatisation contribue à combler le déficit de compétences en matière de cybersécurité. Les RSSI qui investissent dans l’automatisation peuvent embaucher moins d’analystes et leur permettre de se concentrer sur des tâches hautement prioritaires, réduisant ainsi le volume de travail de triage manuel. Ce point de vue est partagé par Troy Wilkinson qui déclare avec assurance : « l’automatisation est le domaine où les équipes créent de l’efficacité ». L’automatisation joue un rôle central dans l’amélioration de l’efficacité du SOC, la réduction de la fatigue liée aux alertes et l’optimisation de l’utilisation des ressources.
3) Définissez des KPI clairs : concentrez-vous sur ce qui compte
Les mesures clés pour les opérations de sécurité ont évolué au-delà de la simple mesure du nombre de menaces identifiées et contenues. Le cadre réglementaire renforcé qui vise à plus de transparence sur les violations oblige les entreprises non seulement à contenir les menaces, mais aussi à le faire rapidement, efficacement et en toute transparence. Tammy Moskites estime que les RSSI sont de plus en plus mesurés en fonction de la rapidité avec laquelle leurs équipes peuvent détecter et contenir les menaces. L’accent est également mis davantage sur l’utilisation des enseignements tirés des menaces précédentes pour développer des manuels de jeu pour les incidents futurs.
4) Préparer et communiquer un plan de continuité des activités solide
Les RSSI doivent disposer d’un plan de continuité des activités et de reprise après sinistre (BCDR) bien défini, ainsi que de manuels mis à jour. Les équipes de sécurité sont proactives face à l’évolution des menaces et il est essentiel pour une équipe SecOps mature de disposer d’un personnel formé aux événements en temps réel. Il est conseillé d’informer les dirigeants des plans en place pour les scénarios de catastrophe afin de garantir que tous les départements sont alignés sur les actions à prendre pendant et après un incident grave.
Bien qu’il existe certaines différences dans l’accent et les détails, des tendances claires ressortent des idées de ces experts en cybersécurité. Ils soulignent tous l’importance d’aligner la cybersécurité sur les objectifs de l’entreprise, de maximiser l’efficacité grâce à l’automatisation, d’adapter les mesures pour refléter la dynamique des menaces et d’être proactif dans la préparation aux catastrophes. Ces connaissances collectives offrent une perspective complète sur le maintien d’un centre d’opérations de sécurité efficace dans un paysage en constante évolution.
Hunters est une alternative SIEM qui réduit les coûts et la complexité du SOC. Visite chasseurs.sécurité pour en savoir plus sur les avantages du remplacement de votre SIEM par Hunters.