Défis
Lorsque votre organisation a besoin d’un leadership en cybersécurité
Le rôle de CISO n’est plus optionnel pour les organisations opérant dans des secteurs réglementés en Suisse. Les établissements financiers soumis à la réglementation de la FINMA sont tenus de démontrer une responsabilité claire au niveau exécutif en matière de sécurité de l’information. Les organisations soumises à la nLPD, les prestataires de soins de santé et les opérateurs d’infrastructures critiques font face à une pression croissante pour présenter un programme de sécurité structuré et documenté aux auditeurs, aux assureurs et aux clients entreprises.
Les situations qui déclenchent le plus souvent une mission de CISO as a Service sont les suivantes :
- Absence de CISO désignée ou de responsable de la stratégie de sécurité au niveau exécutif
- Incident de sécurité ayant mis en évidence l’absence d’un programme formel de gestion des risques
- Pression réglementaire issue d’une revue de la FINMA, d’un questionnaire de sécurité client ou d’une exigence contractuelle liée à la norme ISO 27001
- Recrutement d’un CISO à temps plein non justifié économiquement à l’échelle actuelle de l’organisation
- Départ d’un CISO existant nécessitant une nomination intérimaire pendant la période de recrutement
- Besoin d’un conseil d’administration ou d’une équipe dirigeante de disposer d’un reporting structuré des risques cybersécurité, actuellement indisponible
Périmètre des services
Trois modèles d’engagement pour chaque contexte organisationnel
CISO à temps plein
Un responsable de la sécurité dédié et pleinement intégré à votre organisation, assurant la responsabilité de bout en bout du programme de sécurité de l’information. Adapté aux organisations fortement exposées sur le plan réglementaire, disposant d’environnements multi-sites complexes ou poursuivant des objectifs accélérés de maturité en matière de sécurité.
CISO intérimaire
Nomination d'un profil senior visant à stabiliser la gouvernance durant une phase critique de transition : à la suite d’un incident de sécurité, du départ d’un dirigeant, d’une opération de fusion-acquisition ou d’une mesure de contrôle réglementaire. La durée typique est de trois à douze mois.
CISO virtuel (vCISO)
Conseil stratégique en cybersécurité à temps partiel, sur la base d’un abonnement mensuel. Le CISO virtuel fournit une orientation en matière de sécurité, le reporting aux parties prenantes, la supervision des politiques et la gestion des risques, sans présence à temps plein. C’est le modèle le plus efficace en termes de coûts pour les PME et les organisations en phase initiale de maturité en gouvernance.
Processus
Ce que couvre un mandat de CISO as a Service
Stratégie et orientation en matière de sécurité
Établir la feuille de route du programme de gestion des risques cybersécurité, les cadres de gouvernance ainsi que les processus et contrôles opérationnels, en alignement avec les objectifs de l’entreprise et le paysage de menaces pertinent.
Priorisation des investissements en sécurité
Évaluer et prioriser les investissements en sécurité ainsi que les décisions technologiques en fonction de la stratégie de l’organisation et de sa tolérance aux risques documentée. Relier les dépenses de sécurité à des risques métiers justifiés, et non aux tendances du marché.
Gestion des risques basée sur les menaces
Protéger les actifs de l’entreprise en comprenant le paysage de menaces actif propre à votre secteur. Informer la direction sur les risques cybersécurité et établir un plan mesuré visant à réduire les risques à des niveaux acceptables.
Analyse des écarts de sécurité
Identifier les lacunes actuelles en matière de sécurité et définir les besoins de protection. Aligner les objectifs métiers avec les mesures de cybersécurité grâce à une évaluation structurée produisant des constats exploitables et priorisés.
Reporting aux parties prenantes
Traduire la posture de sécurité technique en langage de risque métier à destination du conseil d’administration, de la direction et des comités d’audit. Permettre des décisions éclairées d’acceptation des risques au niveau organisationnel approprié.
Résultats
Livrables de chaque mission d’engagement
- Analyse des risques et registre des risques documenté
- Stratégie de sécurité et feuille de route
- Documentation du modèle de menaces
- Politiques, procédures et processus opérationnels
- Rapport d’évaluation de maturité et des écarts avec des constats priorisés
Consultants seniors avec expérience opérationnelle
Chaque mission de CISO as a Service est assurée par des consultants disposant d’au moins dix ans d’expérience en gouvernance, titulaires de la certification CISSP, et combinant une expertise de conseil stratégique avec une expérience opérationnelle en sécurité. L’équipe accompagne des organisations des secteurs de la finance, de la santé, de l’industrie manufacturière et des infrastructures critiques en Suisse romande et en Suisse alémanique.
Exemple de mission récente
Une entreprise de services financiers basée à Genève a fait appel à une mission de CISO de 12 mois. L’organisation devait identifier rapidement ses risques cyber, établir une feuille de route de sécurité à court, moyen et long terme, produire des directives de sécurité formalisées, sensibiliser les collaborateurs et mettre en place des contrôles adaptés à son contexte métier spécifique. À la fin de la mission, un cadre de sécurité documenté était en place, les exigences de sécurité avaient été formalisées, validées et communiquées à l’ensemble de l’organisation, des objectifs structurés avaient été définis pour chaque horizon temporel, et les risques cyber avaient été identifiés, consignés dans un registre et activement suivis.
Prochaine étape
Discutez de vos besoins en leadership
Que vous ayez besoin d’un CISO virtuel disponible sous quatre semaines ou d’une nomination intérimaire pour une période de transition critique, nous sommes prêts à évaluer vos besoins et à vous proposer la structure d’engagement la plus adaptée.