Gestion de l’équipe de sécurité : les 4 principaux résultats des discussions avec les RSSI

La plupart des grandes entreprises disposent d’une équipe de sécurité. Mais à quoi ressemble exactement cette équipe de sécurité ? Comment est-il structuré ? De qui ses membres rendent-ils compte ? Et est-il optimisé à chacun de ces égards pour maximiser la posture de sécurité de l’organisation ?

Telles étaient parmi les questions qu’IDC a récemment posées à divers responsables de la sécurité d’entreprise dans le cadre d’un projet visant à comprendre les approches actuelles d’organisation des fonctions de sécurité. Ce que nous avons découvert était un peu surprenant à certains égards.

Nous avons appris, par exemple, que très peu d’organisations disposent d’une seule équipe de sécurité. La plupart en ont plusieurs. Nous avons également découvert diverses approches pour organiser les structures hiérarchiques des fonctions de sécurité.

Continuez à lire pour découvrir les principales conclusions de nos recherches, ainsi que des conseils sur la manière dont les RSSI peuvent les appliquer pour améliorer l’efficacité du personnel de sécurité qu’ils gèrent.

Constat 1 : Peu d’entreprises disposent d’une seule « équipe de sécurité »

Bien qu’il ne soit pas rare d’entendre des dirigeants utiliser le singulier pour désigner « l’équipe de sécurité » d’une entreprise, tous les dirigeants d’entreprise que nous avons interrogés nous ont dit que leur organisation dispose de plusieurs équipes de sécurité distinctes.

Le nombre total d’équipes distinctes variait quelque peu. Certaines entreprises ne disposent que de deux ou trois équipes, tandis que d’autres en comptent environ une demi-douzaine.

Mais ce qui est clair, c’est que pour la plupart des organisations de taille moyenne et grande, une seule équipe de sécurité ne suffit pas. Les RSSI doivent s’attendre à constituer et gérer plusieurs équipes.

Constatation 2 : l’orientation des équipes de sécurité varie considérablement

Que fait exactement chaque équipe de sécurité au sein d’une organisation ?

Il s’avère que la réponse varie considérablement. De manière générale, IDC a constaté que la plupart des entreprises disposent d’une équipe dédiée aux opérations de sécurité de base, comme la surveillance et la réponse aux menaces. Au-delà de cela, cependant, l’orientation des équipes supplémentaires n’était pas cohérente. Certaines entreprises disposent d’équipes dédiées uniquement à la gestion des identités des utilisateurs et des autorisations d’accès, tandis que d’autres intègrent cette fonction aux responsabilités d’équipes aux compétences plus larges. Certaines disposent d’équipes distinctes de sécurité du cloud ou de sécurité des applications, mais ce n’est pas toujours le cas. Et ainsi de suite.

Pour les RSSI, ce qu’il faut retenir ici, c’est qu’il n’existe pas d’approche unique pour organiser les responsabilités des équipes de sécurité. Les responsables de la sécurité doivent se sentir libres de définir les compétences de chaque équipe de la manière la plus pertinente pour leur organisation.

Constat 3 : Les nouveaux défis de sécurité conduisent à de nouvelles équipes

À cet égard, ce qui est logique pour une organisation donnée lors de la définition des compétences de chaque équipe de sécurité semble dépendre, en grande partie, des types de défis de sécurité qu’elle trouve les plus contrariants.

Lorsque nous avons demandé aux responsables de la sécurité quelle considération les avait amenés à créer une nouvelle équipe de sécurité – soit en la créant à partir de zéro, soit en la séparant d’une équipe existante – la réponse la plus courante était qu’ils étaient aux prises avec un aspect particulier de la sécurité et ont décidé que consacrer une équipe à sa résolution était la meilleure solution.

C’est pourquoi, par exemple, certains RSSI nous ont indiqué avoir créé des équipes uniquement dédiées à la gestion des identités et des accès (IAM) : des tendances comme multicloud et cloud hybride avait conduit à une explosion de la complexité des systèmes et des risques IAM, au point que seule une équipe dédiée pouvait les résoudre.

Lorsqu’on leur a demandé s’ils craignaient que la création de nouvelles équipes en réponse aux tendances émergentes en matière de sécurité puisse conduire à un nombre excédentaire d’équipes, les responsables de la sécurité ont généralement répondu que ce n’était pas une préoccupation majeure, puisqu’ils pourraient facilement supprimer progressivement une équipe donnée si le risque de sécurité qu’elle gérait a cessé d’être un défi ou une priorité majeure.

Constatation 4 : Les structures hiérarchiques en matière de sécurité varient considérablement

En plus de découvrir un ensemble diversifié d’approches pour organiser les équipes et les fonctions de sécurité, notre recherche a découvert une variété de structures hiérarchiques pour la fonction de sécurité de l’entreprise.

Toutes les organisations avec lesquelles nous avons parlé ont un dirigeant – généralement un RSSI – chargé de superviser la sécurité informatique dans l’ensemble de l’entreprise. Mais la personne à qui ce dirigeant rendait compte n’est pas cohérente. Dans de nombreux cas, les RSSI relèvent d’un CIO. Mais dans certaines entreprises, ils relèvent directement des PDG, des responsables juridiques ou, dans un cas, d’un directeur financier.

Le flux de reporting en aval variait également considérablement. Certains responsables de la sécurité nous ont déclaré qu’ils maintenaient des organisations de sécurité « plates », avec un minimum de couches de gestion séparant les praticiens de la sécurité du RSSI. D’autres avaient des hiérarchies rigides, avec un responsable supervisant chaque équipe de sécurité et des directeurs – eux-mêmes rattachés au RSSI – supervisant les managers.

Lorsqu’on leur a demandé pourquoi ils avaient adopté une certaine approche pour définir les structures hiérarchiques, la plupart des responsables de la sécurité ont cité des priorités culturelles. Les partisans des équipes « plates », par exemple, ont mentionné qu’ils pensaient qu’un manque de hiérarchie encouragerait les contributeurs individuels à se sentir responsabilisés et à se comporter de manière proactive dans la gestion des risques de sécurité – des attributs qui profiteraient en fin de compte à l’entreprise dans son ensemble. D’un autre côté, les partisans des équipes hiérarchiques ont souligné l’importance d’avoir des rôles, des responsabilités et des contrôles clairement définis pour les équipes de sécurité, de peur qu’une menace ne passe inaperçue parce que tout le monde pense qu’il incombe à quelqu’un d’autre de la trouver.

Pour les RSSI, la conclusion semble être que, ici aussi, il n’existe pas d’approche unique pour organiser les structures hiérarchiques, mais que la culture organisationnelle globale peut aider à déterminer la meilleure stratégie.

Conclusion : les nombreuses formes d’équipes de sécurité modernes

Au lieu de faire référence à « l’équipe de sécurité » d’une entreprise comme s’il s’agissait d’une entité unique et générique, les RSSI et autres dirigeants d’entreprise devraient peut-être plutôt souligner la diversité des équipes de sécurité modernes. Les organisations de sécurité peuvent varier considérablement dans leur forme et leur fonction, ce qui est une bonne chose car cela permet aux RSSI d’adapter les structures de leurs équipes de sécurité aux besoins et priorités uniques de leur entreprise.

En savoir plus sur Recherche d’IDC pour les leaders technologiques.

International Data Corporation (IDC) est le premier fournisseur mondial d’informations commerciales, de services de conseil et d’événements pour les marchés technologiques. IDC est une filiale en propriété exclusive d’International Data Group (IDG Inc.), le leader mondial des services de médias technologiques, de données et de marketing. Récemment élu cabinet d’analystes de l’année pour la troisième fois consécutive, les solutions technologiques leaders d’IDC vous fournissent des conseils d’experts soutenus par nos services de recherche et de conseil de pointe, de solides programmes de leadership et de développement et les meilleures données d’analyse comparative et d’approvisionnement. auprès des conseillers les plus expérimentés de l’industrie. Contactez-nous dès aujourd’hui pour en savoir plus.

Christophe Tozziconseiller de recherche adjoint pour IDC, est maître de conférences en informatique et société au Rensselaer Polytechnic Institute. Il est également l’auteur de milliers de billets de blog et d’articles pour divers sites de médias technologiques, ainsi que de nombreuses publications scientifiques.

Avant de se consacrer actuellement à la recherche et à l’écriture sur la technologie, Christopher a travaillé à temps plein en tant que professeur d’histoire titulaire et analyste pour une startup technologique de la région de la baie de San Francisco. Il est également un connaisseur de longue date de Linux et a occupé des postes dans l’administration système Linux. Cette combinaison inhabituelle de compétences techniques « concrètes » et d’un accent sur les questions sociales et politiques aide Christopher à réfléchir de manière unique à l’impact de la technologie sur les entreprises et la société.