Gouvernance

Nouveaux métiers de la cybersécurité et instances dirigeantes

Les conseils d’administration qui réfléchissent à la protection informatique se posent souvent la question de nouveaux recrutements. Des métiers de la cybersécurité, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en énumère une trentaine. Certains ont bien sûr des compétences particulièrement utiles à la prise de décisions en matière de sécurité informatique. De quels métiers de la cybersécurité les instances dirigeantes ont-elles besoin ?

3 métiers de la cybersécurité au cœur des activités du CA

De nombreux conseils d’administration invitent dorénavant la direction des systèmes d’information (DSI) à leurs séances. La cybersécurité reste effectivement un enjeu prioritaire pour toutes les entreprises. Certains font cependant aussi le choix de prendre conseil auprès de spécialistes.

S’appuyer sur un juriste spécialisé en cybersécurité

S’il existe un métier de la cybersécurité particulièrement recherché en ce moment, c’est bien celui du juriste en cybersécurité. Il s’agit d’une ou d’un professionnel dont l’expertise touche particulièrement le droit informatique et la sécurité des SI. De nombreux conseils d’administration s’appuient sur ces experts en sécurité informatique.

Les conseils du juriste en cybersécurité peuvent toucher à la :

  • prévention des cyberattaques, dont la responsabilité touche de nombreuses personnalités de l’entreprise ;
  • sensibilisation des membres du conseil aux éventuels litiges liés à l’exposition des données confidentielles ;
  • gestion des litiges et des sanctions en cas de dysfonctionnement ou de piratage informatique avéré.

Garantir sa conformité avec le Data Protection Officer

Le Data Protection Officer, ou DPO, s’impose comme le métier de la cybersécurité à investir depuis 2018. Cette année-là fut mis en place le Règlement Général pour la Protection des Données personnelles (RGPD). Le ou la DPO fait par ailleurs partie des fonctions obligatoires dans certaines structures :

  • organismes publics ;
  • organisations qui génèrent d’importants fichiers clients ou usagers ;
  • entreprises qui traitent des données sensibles à grande échelle.

Le Data Protection Officer (DPO) maîtrise le droit des nouvelles technologies de l’information et de la communication (NTIC). Il ou elle a par ailleurs la charge d’unifier le cadre juridique de l’entreprise.

C’est aussi cette personne qui responsabilise les collaborateurs dans la façon dont ils traitent les données. Le DPO sensibilise ainsi les instances dirigeantes à la façon dont elles doivent gérer les informations sensibles. C’est aussi lui qui leur signale tout risque de manquement à la loi.

La gestion des risques, mission du pôle SOC

Le Security Operation Center, ou SOC, désigne une équipe dédiée à la supervision de la sécurité du Système d’Information. Le SOC comprend un responsable, qui agit en chef d’orchestre de ses équipiers. Il inclut également un analyste SOC.

Ce dernier a la responsabilité de vérifier la bonne application des règles de cybersécurité par les employés. S’il intervient au niveau du conseil d’administration, il peut permettre aux administrateurs de réaliser l’ampleur de leurs rôles dans la cybersécurité de l’entreprise. Cette intervention aide aussi à prévenir les membres du CA des menaces que ses membres vivent quotidiennement.

Certaines solutions de gestion de la gouvernance permettent de se passer de profils spécialisés en cybersécurité. Un logiciel crypté qui garantit la sécurisation des données sensibles vous dispense par exemple d’embaucher un ingénieur en cloud computing.

Le datacenter de votre fournisseur répond dans ce cas à suffisamment de normes de sécurité informatiques. Il vous assure ainsi la confidentialité de vos données confidentielles. C’est bien sûr le cas de Diligent, conforme à la norme ISO 27001. Je veux en savoir plus sur votre solution de gouvernance.

Les professionnels de la cybersécurité au cœur de la bonne gouvernance ?

Dorénavant, toutes les structures – publiques et privées – collectent et enregistrent des données à grande échelle. Il peut s’agir de données sur les collaborateurs ou agents, sur les clients, sur les usagers, ou encore sur leurs produits et processus. Certaines de ces données, et notamment celles relatives aux personnes, réclament une protection légale.

L’ampleur du phénomène réclame donc une prise de décision politique sur la protection informatique. La stratégie choisie par les instances de gouvernance doit prendre en compte :

  • l’accessibilité de ces données ;
  • la régulation de la quantité de données collectées ;
  • les modalités de sélection des logiciels amenés à brasser ces informations.

En la matière, certains métiers de la cybersécurité peuvent s’imposer. Les analystes de la menace cyber permettent de comprendre l’environnement informatique spécifique de l’entreprise pour prendre des décisions éclairées. Ces experts différencient une menace globale et commune à toutes les structures d’un risque plus particulier, relatif à une activité donnée.

Quid dudit Directeur de la cybersécurité ?

Jusqu’ici, le métier de la cybersécurité le plus connu était le Directeur Cybersécurité. Ce poste recoupait cependant une multitude de responsabilités. D’aucuns lui attribuaient la prévention des attaques informatiques, la gestion du chapitre confidentialité et la détection des risques.

Une transversalité qui s’explique notamment par le fait que les métiers de l’informatique se sont développés moins vite que la menace cyber. Le CESIN, ou Club des Experts de la Sécurité de l’Information et du Numérique, a donc redéfini ce poste.

La ou le Directeur de la Cybersécurité a désormais une place au sein des instances de gouvernance : CA, mais aussi COMEX (comité exécutif). Ce cadre dirigeant pilote les autres métiers de la cybersécurité, et notamment le SOC. Ses missions englobent donc :

  • identification des risques cyber ;
  • catalogue des solutions logicielles qui sécurisent l’activité informatique de l’entreprise ;
  • dispositifs de surveillance ;
  • stratégie de cyber résilience ;
  • développement de la culture sécurité, notamment auprès des instances de gouvernance.

Le ou la Directrice de la Cybersécurité participe donc à l’élaboration de la stratégie de l’entreprise en termes de cybersécurité. Cette personne fait valider cette stratégie par le CA et/ou par le COMEX. Elle se charge aussi de transformer cette stratégie en programmes d’action. Ceux-ci se déclinent à l’échelle de chaque service de l’organisme.

Comment gérer la conformité de votre entreprise à l’échelle internationale, quand les règlements sur la protection des données varient d’un pays à l’autre ? C’est le rôle du juriste spécialisé en informatique.

Si, cependant, votre entreprise n’en est pas dotée, vous pouvez vous fier à notre fonctionnalité Diligent Entities. Une solution de gestion mondiale des entités qui permet de simplifier les procédures juridiques pour assurer leur conformité aux législations nationales.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS À NE PAS MANQUER