Le dilemme des compétences en matière de conformité des RSSI

Par Dan Raywood • 14er Février 2023.

Existe-t-il un manque général de personnes possédant les compétences requises pour assumer le rôle de RSSI ? Avec des techniciens qui ne peuvent pas s'engager avec le conseil d'administration et des types de direction qui ne sont pas pris au sérieux par les techniciens ? Qu’en est-il des compétences qui ont besoin de conformité et de réglementation ? Sont-ils également rares ? Dan Raywood évalue le problème.

La question du déficit de compétences est débattue depuis longtemps, en particulier en ce qui concerne ceux qui sont aptes à assumer les responsabilités de RSSI.

Outre la confiance nécessaire pour parler et rendre compte au conseil d'administration, il faut se demander si le RSSI doit être techniquement compétent et connaître le fonctionnement et les configurations des défenses, ainsi que sa capacité à sensibiliser à la sécurité et à gérer risque dans toute l’organisation.

Si cela vous semble beaucoup à faire dans l'assiette d'une personne, pensez à l'élément de conformité. Oui, la gouvernance, les risques et la conformité (GRC) sont les pierres angulaires du plan de sécurité d'une entreprise, mais dans quelle mesure la conformité prend-elle en compte les compétences du RSSI, et existe-t-il une nouvelle pénurie de compétences en matière de cadres et de réglementations de conformité pour le futur RSSI ?

In Une étude J'ai dirigé pour Infosecurity Magazine en 2019, j'ai collaboré avec des étudiants, des personnes en stage et celles qui débutent leur carrière dans la cybersécurité. Dans ce cas, j'ai demandé aux personnes interrogées si elles savaient ce que GDPR, PCI DSS et PSD2 et en quoi ils différaient. Nous avons reçu 54 réponses, dont 35 positives et 19 négatives.

Ces réglementations particulières ont fait l'objet de beaucoup d'attention, et le concept de GDPR n'aurait pas dû échapper à la personne moyenne dans la rue, mais du point de vue des dirigeants en matière de sécurité, est-il évident ce qui doit être fait pour combler cette lacune, et existe-t-il un manque de connaissances sur la manière de répondre aux besoins de conformité ?

Brian Honan, PDG de BH Consulting, estime qu'il existe une pénurie de personnes expérimentées disponibles en tant que RSSI. Face à la pression exercée sur les organisations pour qu'elles démontrent qu'elles prennent la « sécurité au sérieux », de nombreuses personnes sont nommées au poste de RSSI alors qu'elles ne sont peut-être pas adaptées à ce poste.

« De nombreux RSSI inexpérimentés ont tendance à se concentrer sur les aspects techniques de leur fonction, car c'est souvent là qu'ils se sentent le plus à l'aise ; cependant, ils n’ont peut-être pas d’expérience en matière de gestion des cyber-risques, d’élaboration et de mise en œuvre de politiques ou d’élaboration d’un programme de sensibilisation efficace », dit-il.

Un autre problème auquel les RSSI sont souvent confrontés est de concentrer le programme de conformité uniquement sur la sécurité ou la fonction informatique au sein d'une organisation, affirme Honan, car « dans de nombreux cas, un programme de conformité s'applique à l'ensemble de l'organisation et pas seulement à ces fonctions ».

Comprendre et mettre en œuvre la conformité ne se limite pas à l'intégrer à votre équipe de sécurité et à vos niveaux de défense, mais également à l'organisation dans son ensemble.

« L'autre problème que je vois souvent avec les exigences de conformité réglementaires telles que le RGPD ou la loi britannique sur la protection des données est que de nombreux RSSI se concentrent uniquement sur l'élément de sécurité de ces réglementations, ce qui conduit l'organisation à ne pas être entièrement conforme », dit-il.

Rowenna Fielding, directrice de Miss IG Geek Ltd, déclare, d'après ses engagements avec des clients et d'autres acteurs du secteur de la sécurité : « Je peux certainement dire qu'il existe des lacunes importantes concernant le RGPD ». En particulier, dit-elle, « de manière alarmante, peu de responsables de la sécurité ont une compréhension approfondie de ce que signifie réellement les « données personnelles » (la plupart les confondent avec les informations personnelles) » dans un effort qui « sape chaque activité de conformité au RGPD dans laquelle ils sont impliqués, en définissant la portée. trop étroit dès le départ.

Lorsqu'on lui demande pourquoi leurs employeurs n'investissent pas dans une formation efficace et significative pour répondre aux exigences de conformité, Fielding répond que cela est souvent considéré comme trop coûteux, « et avoir les loisirs et les fonds nécessaires pour rechercher une éducation sur une base individuelle est un luxe ».

Selon elle, le défi réside dans le fait qu'il y a souvent trop de marketing de produits qui promettent des assurances quant à la conformité, car « les personnes chargées de la conformité recherchent désespérément des « solutions » (y compris l'externalisation) qu'elles espèrent alléger d'une partie de l'immense charge cognitive du travail, mais celles-ci « Les solutions elles-mêmes nécessitent encore beaucoup d'efforts humains pour mettre en place, surveiller, vérifier, adapter et maintenir leurs fonctions – en plus de tous les nouveaux risques que les solutions elles-mêmes introduisent.

Owanate Bestman est le fondateur de la société de ressources en personnel en cybersécurité Bestman Solutions. À la question de savoir s'il pensait qu'il y avait une pénurie de compétences dans ce domaine, il a répondu que non, car il y a souvent trop d'entreprises qui embauchent « à la recherche de licornes pour décrocher le titre de RSSI ». on » alors qu’en réalité l’entreprise recherche quelqu’un pour faire du GRC et travailler avec les régulateurs.

S’il y a une pénurie de personnes nécessaires pour remplir les exigences des cadres de conformité et réglementaires, il faut prendre en compte le risque que les postes ne soient pas pourvus. Si quelqu’un n’assume pas de responsabilités à un niveau supérieur, y a-t-il un risque que cela ne soit pas fait ?

Honan dit qu'il y a un problème avec le fait que les RSSI rejettent les cadres, les normes et même les obligations juridiques comme des frais inutiles qui ne « les rendront pas plus sûrs » et ne citent même pas l'argument selon lequel « les politiques n'arrêteront pas un pirate informatique ».

« Ce qui leur manque souvent, c'est que les exigences énoncées dans les lois et les cadres sont là pour fournir une approche structurée de la sécurité et garantir l'engagement des entreprises en faveur d'une meilleure sécurité », dit-il. « Un bon RSSI comprendra comment les cadres, les normes et les obligations légales peuvent contribuer à réduire les risques pour l'entreprise tout en lui fournissant les ressources dont il a besoin pour mieux sécuriser l'organisation.

Les options permettant d'apprendre ce qui est nécessaire pour permettre la conformité dans une organisation existent, mais les éléments préventifs sont le coût et le temps plutôt qu'un manque total de compétences. "Je ne pense pas qu'il y ait un manque de compétences, mais il existe certainement un rapport ingérable entre la matière grise disponible et la demande de tâches." Fielding est d'accord, affirmant que les gens ont tout ce dont ils ont besoin pour se conformer, à l'exception du temps et de l'énergie nécessaires pour les appliquer efficacement.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood