Carlo Harpes, Managing Director. (Photo: © itrust consulting)

Carlo Harpes, Managing Director. (Photo: © itrust consulting)

Inspiré par le bilan 2021 de reporter.lu, j’ai adapté, dans mes vœux de Nouvel An, une citation concernant le journaliste d’investigation de Hans Leyendecker à mon rôle de responsable de la sécurité de l’information (CISO): «Un bon CISO est un CISO insatisfait. Personne qui est complètement satisfait n’est capable de mettre en œuvre la sécurité.»

Cette phrase a consolé bien des CISO internes et externes avec que j’ai travaillé en 2021 ; Guillaume, Ingo, Laura, Marc, Matthieu, Patrick, Yannick....

Nous nous sentons souvent comme des « emmerdeurs » lorsque nous rappelons les procédures non suivies, les pratiques courantes de sécurité jugées trop compliquées, les bons réflexes abandonnés faute de temps. Nous avouons nos incertitudes des analyses de risques ou notre pessimisme, si nous survivons sans que nos conseils fussent suivis…

Or nous avons tous appris que pour réussir, il nous faut un esprit positif, une ouverture aux nouvelles technologies, une autonomie et un esprit créatif du personnel, et surtout ne pas se fermer à l’évolution du marché. C’est en général ce que les CISO pratiquent : ils suivent les standards tout récents et reconnus, essaient de convaincre, coachent, implémentent l’intelligence artificielle dans la supervision des réseaux…

Mais leur rôle consiste aussi à trouver les vulnérabilités en tendant des pièges comme nos attaquants, à insister sur une bonne documentation qui fait face aux erreurs et aux pertes de know-how, à exiger une traçabilité des décisions et une acceptation des risques (sans embellissement) pour assurer des décisions durables, au lieu de décisions préconçues. Le CISO est ainsi le bon allié d’un CEO qui cherche les meilleures décisions face aux nouveaux défis.

C’est en marquant son désaccord avec une sécurité observée que le CISO stimule à trouver mieux. Et sa persistance évite des dérives : des services entamés sans accord adéquat en matière de responsabilité, migration trop vite dans le cloud, création de dépendance pour un avantage à court terme, portes ouvertes à la cybercriminalité, résignation devant les négligences internes. Il évite ainsi l’arrêt de service ou des remplacements ou corrections onéreuses.

Heureusement ce ne sont pas que les CISO qui freinent. Récemment un CEO courageux m’a avoué qu’il se voit souvent en situation de freiner des projets dans lesquels la vue du client, la faisabilité financière, la sécurité, la conformité légale… ont été négligées. L’enthousiasme ne garantit pas le succès.

Pour des projets durables, les managers n’échappent pas à collaborer, à soigner la sécurité et la protection des données. Et ce sont souvent les CISO qui viennent avec des solutions interdisciplinaires et créatives, parfois plus simples que prévues, qui s’opposent aux produits phares qui font tout sauf fonctionner efficacement sans personnel qualifié, et qui adressent la sécurité avant qu’il y ait cyberattaque.

N’oublions pas que maintes grandes idées et réussites ont été créées par de grands emmerdeurs comme Steve Jobs ou de personnes méticuleux comme Bill Gates.… Sans sueur et rivalité, les clients n’auront pas les services sécurisés qu’ils méritent.