Externaliser le risque de cybersécurité est une pratique communément admise, particulièrement dans les PME et les ETI. Parce qu’elles sont exposées aux risques d’attaques informatiques et des brèches de données qui en découlent, les entreprises doivent recourir à un Responsable de la Sécurité des Systèmes d’Information (RSSI). Cela dit, pour externaliser le RSSI, cet expert de la sécurité informatique doit être capable de comprendre les enjeux métiers, mais aussi l’organisation informatique de l’entreprise pour définir des objectifs de sécurité alignés sur ses besoins.
Les entreprises de plus en plus exposées à la cybercriminalité
Dans un contexte de digitalisation accélérée, sécuriser son système d’information est un enjeu stratégique pour les entreprises de toutes tailles, tous secteurs d’activité confondus. Cela passe le plus souvent par un RSSI externalisé, la cybersécurité devenant une absolue priorité. Pour vous en convaincre, un chiffre : 60% ! Selon le rapport sur les risques cyber 2021 de Hiscox / Forrester Consulting, 6 entreprises sur 10 déclarent que leur survie a été sérieusement menacée après avoir subi une cyberattaque.
Sans surprise, la cybersécurité est aujourd’hui placée au rang de priorité, ce qui explique la hausse des investissements liés au renforcement de la sécurité des systèmes d’information. Cela dit, augmenter les budgets de cybersécurité ne suffit pas à la renforcer. En fait, cela pose une autre problématique pour la majorité des entreprises : manager la sécurité ! D’où le recours croissant au RSSI externalisé et/ou aux consultants experts en sécurité informatique. Se pose alors un autre problème : la rareté des experts dans un contexte de forte demande. La rareté affecte aussi les organisations qui emploient des RSSI à plein temps. En effet, celles-ci ont tout le mal du monde à garder leurs ressources pour gérer leur cybersécurité.
Externaliser le RSSI : les bons profils ne courent pas les rues
Vous l’aurez compris, externaliser le RSSI est une option pertinente pour les entreprises, notamment du point de vue du management de la sécurité. C’est particulièrement le cas des organisations dont la taille et les besoins en sécurité ne justifient pas le recrutement d’un RSSI à plein temps. Toutefois, la demande pour ces experts en sécurité informatique est si forte que les bons profils se font rares. Pour ne rien arranger, un « bon » RSSI doit combiner un ensemble de compétences techniques et métier. D’une part, il doit être capable de comprendre les enjeux et les risques de l’environnement métier, en plus de l’organisation informatique de l’entreprise pour déterminer les objectifs sécurité prioritaires alignés avec les besoins de l’organisation. D’autre part, pour être en mesure d’implémenter la sécurité de manière pérenne dans l’entreprise, un RSSI externalisé doit disposer de solides connaissances en organisation et gouvernance, en plus de comprendre l’environnement juridique, notamment le RGPD.
Externaliser le RSSI, ce que l’entreprise y gagne
Externaliser le RSSI est une formule toute en avantages pour les entreprises, au premier rang desquels la montée en compétences rapide via le recours à un expert des différentes questions relatives à la cybersécurité. C’est aussi l’occasion pour l’organisation de se concentrer davantage sur son cœur d’activité, en se déchargeant de la lourde tâche que peut représenter la gestion interne de la sécurité. En outre, un RSSI externalisé peut être sollicité en urgence pour apporter une réponse immédiate à un problème de sécurité. Enfin, externaliser un RSSI pour répondre à un besoin ponctuel ou pour atteindre des objectifs spécifiques de cybersécurité est le compromis idéal entre minimisation des risques et coûts.
Pour couronner le tout, externaliser le RSSI peut aussi être une solution transitoire visant l’atteinte par l’organisation, à moyen terme, d’une plus grande autonomie sécuritaire, par le biais d’une montée en compétences progressive de ses ressources internes.
Que faut-il externaliser en priorité ?
Les entreprises qui disposent d’un budget suffisant pour recruter plusieurs RSSI ont naturellement tendance à vouloir maîtriser 100% de leur sécurité. Cela dit, il est des cas où il est plus pertinent d’externaliser un RSSI, peu importe les ressources à disposition. L’externalisation est d’autant plus pertinente qu’il n’est pas vraiment censé d’auditer la sécurité de son système d’information par ses équipes internes (lorsque l’organisation en dispose naturellement), celles-là mêmes à qui incombent de les protéger.
Tout cela est bien beau, mais que faut-il externaliser en priorité ? Il n’y a pas de réponse prédéfinie à cette question. Il y a de cela quelques années, les organisations externalisaient en priorité les actions de sécurité de base (ouverture de flux sur les firewalls, gestion des demandes d’accès, installation des logiciels de sécurité…). Cette façon d’externaliser la sécurité du SI signe son grand retour, crise sanitaire et réduction des budgets sécurité obligent. Mais si l’objectif est avant tout de réduire les coûts, il ne faut pas oublier que cela ne doit pas se faire au détriment de la qualité de la prestation. Or, force est de constater que les acteurs qui proposent ce type de prestations ne sont pas ce qui se fait de mieux en matière de maîtrise des risques de cybersécurité.
En règle générale, les experts de la cybersécurité recommandent d’externaliser uniquement les processus que l’organisation maîtrise déjà en interne. Par principe, il est conseillé de ne déléguer que ce que l’entreprise maîtrise, l’idée étant de garder intacte la capacité de pilotage de l’entreprise, tout en bénéficiant de l’expertise du RSSI (si on en possède un bien évidemment) et de sa maîtrise des enjeux globaux relatifs à la sécurité des systèmes d’information.
