Qu’est-ce qu’un CISO virtuel ? Comment et quand le bon moment est venu d’en embaucher un
Que fait un CISO ? Un directeur de la sécurité de l’information (CISO) est la personne qui, au sein d’une organisation, est chargée de définir et de faire appliquer les politiques, les pratiques et l’architecture de cybersécurité de cette organisation. Les fonctions du CISO peuvent avoir un impact sur tous les processus d’une organisation d’une manière ou d’une autre, qu’il s’agisse de la façon dont les employés utilisent leurs e-mails, des sites Web qu’ils peuvent visiter ou de la façon dont ils stockent les documents importants.
Cependant, trouver un CISO à ajouter à l’organigramme interne de l’entreprise peut être… difficile, c’est le moins que l’on puisse dire. Les candidats qualifiés qui peuvent répondre aux exigences du poste de CISO sont rares. Cela entraîne à son tour des salaires élevés pour ces experts en cybersécurité difficiles à trouver (environ 225 328 dollars en moyenne, selon salary.com).
Avec une concurrence intense pour les personnes capables de comprendre et d’exécuter les tâches inhérentes à la description du poste de CISO, les entreprises doivent souvent offrir un salaire de premier ordre en plus d’une variété d’autres avantages pour attirer ces personnes. Cependant, il existe une solution alternative à l’embauche d’un RSSI traditionnel en interne pour gérer le programme de cybersécurité de votre entreprise. Au lieu de recruter un expert en cybersécurité de niveau C, votre entreprise pourrait utiliser un programme ou un service de CISO virtuel.
Qu’est-ce qu’un CISO virtuel (VCISO) ? Quel est le coût d’embauche d’un CISO virtuel ? Quels sont les avantages de l’embauche d’un VCISO ? Quand devriez-vous embaucher un VCISO par rapport à un CISO interne ?
Qu’est-ce qu’un CISO virtuel ?
Un CISO virtuel est un service fourni par un fournisseur de services de sécurité gérés (MSSP) qui reproduit les fonctions du poste de directeur de la sécurité de l’information – créer et gérer les politiques de cybersécurité pour une organisation – en externalisant efficacement le rôle.
Alors qu’un CISO interne est généralement une seule personne de haut rang dans une entreprise, les services VCISO sont généralement fournis par une équipe d’experts CISO virtuels. Cela leur permet de puiser dans un bassin de connaissances plus profond et de fournir une protection quasi-constante contre les cybermenaces.
Comment un VCISO protège-t-il votre organisation ?
Les services de VCISO virtuels aident les entreprises à améliorer leur architecture de cybersécurité en fournissant des conseils d’experts sur leurs problèmes de sécurité critiques. Les responsabilités du CISO virtuel comprennent souvent des tâches telles que :
- Réaliser des tests de pénétration ;
- Identifier de manière proactive les failles de sécurité critiques ;
- Aider à réviser les politiques et procédures de sécurité ;
- Assurer la conformité aux réglementations clés (telles que HIPAA, PCI DSS, GDPR, etc.);
- Créer et mettre en œuvre des plans de réponse aux incidents (IRP) ; et
- Revoir tous les outils de cybersécurité existants et faire des recommandations pour les remplacer ou les renforcer.
Tout comme avec un CISO interne, les VCISO sont censés maximiser votre cybersécurité tout en minimisant les coûts et les impacts sur les performances.
Qu’est-ce qu’un CISO virtuel ? Comment &C’est le bon moment pour en embaucher un ?
Si un CISO interne peut coûter quelques centaines de milliers de dollars par an, combien coûte un CISO virtuel ? La réponse est la suivante : » Cela dépend des services de VCISO dont vous avez besoin. » Toutes les entreprises n’auront pas besoin du même niveau de service de la part d’un VCISO, les coûts peuvent donc varier.
Une règle empirique pour les coûts du VCISO mise en évidence par CSO Online indique que « les VCISO sont estimés coûter entre 30 % et 40 % d’un CISO à temps plein. » Cependant, il s’agit uniquement d’une estimation approximative, qui ne correspond pas nécessairement à vos coûts réels.
Lorsque vous recherchez des services de CISO virtuels, il est important de recueillir des estimations spécifiques auprès des MSSP afin de pouvoir comparer les coûts – bien que le coût ne soit pas le seul critère à prendre en compte lorsque vous recherchez des services de VCISO.
Quels sont les avantages de l’embauche d’un CISO virtuel ?
Beaucoup de gens se demandent quels sont les avantages de l’embauche d’un expert CISO virtuel par rapport au recrutement d’une personne permanente pour ce rôle de niveau C. Voici quelques-uns des principaux avantages de l’utilisation des services de VCISO par rapport au recours à un CISO traditionnel, en interne :
- Élimination d’un long processus de recrutement. Cela peut prendre des mois et des dizaines de milliers de dollars pour créer une campagne de recrutement de CISO réussie. Au-delà de la simple création d’une description de poste de CISO et de sa publication sur Monster ou LinkedIn, les entreprises doivent investir du temps pour trouver et contrôler un candidat qualifié. Pire encore, les entreprises peuvent passer des semaines à essayer de faire signer un candidat, pour qu’il soit ensuite récupéré par une autre entreprise disposant d’un budget plus important pour les avantages sociaux ou la paie. L’utilisation d’un service de CISO virtuel offre un accès instantané à une équipe d’experts – éliminant ainsi un processus de recrutement long, coûteux et risqué.
- Obtenir une surveillance de la cybersécurité « 24 heures sur 24 ». Aussi bon qu’un CISO hautement qualifié puisse (et doive) être, cela reste une seule personne à qui l’on demande de gérer l’optimisation de la sécurité et la réponse/gestion des incidents pour toute une organisation. Les gens ont besoin de vacances, de temps d’arrêt pour se remettre à niveau ou de congés maladie. Personne ne peut être au top de tout 24 heures sur 24, 7 jours sur 7. Avec les services de CISO virtuel, vous avez accès à une équipe d’experts qui peuvent se remplacer les uns les autres pour assurer une surveillance et un soutien constants. Cela permet de fournir plus de sécurité que ce qu’une seule personne peut offrir.
- Les RSSI virtuels sont plus susceptibles de rester à jour. Les menaces de cybersécurité et les méthodes d’attaque évoluent constamment, les attaquants créant de nouvelles façons de voler des données ou de causer des dommages. Se tenir au courant des dernières menaces est un travail à plein temps en soi. Les fournisseurs de services VCISO sont souvent mieux à même de suivre les nouvelles menaces de sécurité car ils disposent de toute une équipe de personnes. Au lieu de compter sur une seule personne pour essayer d’apprendre chaque type de menace (ce qui est presque impossible), les MSSP peuvent avoir des personnes qui se spécialisent dans le traitement des différentes menaces, se tenant au courant des derniers développements beaucoup plus facilement en répartissant la charge.
- Économiser de l’argent sur les coûts du programme CISO. Comme mentionné précédemment, le coût d’un VCISO a tendance à être beaucoup plus faible que celui de leurs homologues en interne. Cela s’explique par le fait que de nombreux coûts associés au recrutement d’un poste de niveau C (publicité, avantages sociaux, salaires, primes, formation continue en cybersécurité) sont pris en charge par le MSSP. Le MSSP peut ensuite faire travailler ses équipes de service de CISO virtuel sur plusieurs comptes en même temps – répartissant le coût afin que vous n’ayez pas à supporter tout le fardeau seul.
Les économies monétaires que l’externalisation des fonctions du poste de CISO à un service VCISO peut fournir est généralement la raison la plus populaire pour les utiliser. Cependant, il est important de considérer plus que le simple coût.
Raisons d’embaucher un service de CISO virtuel
Bien que les avantages énumérés ci-dessus soient souvent une forte motivation pour utiliser un VCISO, certaines des raisons les plus couramment citées pour utiliser ces services sont :
1 : Parce que les services de VCISO offrent un coût mensuel prévisible
Bien que loin d’être la seule préoccupation des entreprises qui recherchent des CISO, le coût est l’une des raisons les plus fréquemment citées pour aller avec un service virtuel. Les personnes qui ont les qualifications et l’expérience requises pour occuper un poste de cybersécurité de niveau C connaissent leur valeur – et auront des options alignées autour du bloc pour les embaucher si votre offre n’est pas assez attrayante. Ainsi, il n’est pas rare qu’un VCISO parte après avoir reçu une meilleure offre.
Cela peut laisser les entreprises se démener pour trouver et embarquer un remplaçant – ce qui crée des coûts supplémentaires pour le recrutement et la formation. En outre, compte tenu de la nécessité de prendre des congés pour des vacances ou des événements personnels aléatoires, le rendement des services d’un RSSI d’un mois à l’autre peut varier (surtout si l’on considère qu’il s’agit généralement d’un poste salarié).
2 : Parce que les bons RSSI sont difficiles à trouver
Même en offrant un salaire de premier ordre, il peut être difficile de trouver un RSSI qualifié pour le poste. Si difficile, en fait, que de nombreuses organisations choisissent de prendre un expert en cybersécurité ordinaire et de lui faire suivre une formation CISO sur le campus ou virtuelle pour produire un candidat approprié.
En outre, il n’y a aucune garantie que la personne formée aura le bon mélange d’expérience et de compétences pour gérer un plan de cybersécurité à grande échelle qui s’intègre harmonieusement aux processus d’affaires existants.
L’utilisation d’un service VCISO pour fournir un plan de cybersécurité robuste élimine la nécessité de chasser par le haut ou de former un expert en cybersécurité de niveau C. Plus important encore, les équipes virtuelles de CISO ont souvent beaucoup plus d’expérience pour aider les entreprises à optimiser leurs plans de sécurité que n’importe quel individu pourrait posséder.
3 : Parce que vous avez besoin d’un soutien CISO MAINTENANT
Un effet secondaire de devoir recruter ou former un nouveau CISO est de se passer des services de cybersécurité critiques de niveau C pendant une période prolongée. Pendant ce temps, les problèmes critiques de cybersécurité ne sont pas abordés – ce qui signifie que votre réseau est plus vulnérable qu’il ne le serait autrement.
L’utilisation d’un service VCISO permet d’éliminer les longs processus de recrutement. Cela, à son tour, contribue à garantir que votre organisation obtient un soutien critique en matière de cybersécurité lorsqu’elle en a besoin.
4 : Parce que vous voulez un large éventail d’expertise en cybersécurité
Comme mentionné précédemment, l’un des principaux avantages d’un service de CISO virtuel par rapport à l’utilisation d’un CISO interne est que le service tire parti de toute une équipe de personnes qui peuvent chacune se spécialiser dans différentes choses. Cela permet de disposer d’un réservoir de connaissances plus large qui peut se traduire par de meilleures protections de cybersécurité qui répondent à un plus grand nombre de vos plus grands risques de cybersécurité.
En outre, une équipe dédiée d’experts CISO virtuels est plus susceptible d’être en mesure d’identifier correctement les risques de sécurité spécifiques et de créer des contre-mesures efficaces qu’une seule personne. Cela contribue à améliorer l’efficacité de vos plans de réponse aux incidents afin que vous puissiez minimiser les impacts des brèches de sécurité et améliorer la vitesse de réponse.
Dois-je embaucher un CISO ou un VCISO ?
Avec tous les points positifs qui ont été mentionnés au sujet des services de VCISO, vous pourriez penser que ce serait toujours la meilleure option. Cependant, rien n’est jamais aussi simple. Dans certains cas, il peut être plus judicieux de faire appel à un CISO interne plutôt qu’à un service VCISO externalisé.
Par exemple, certaines organisations peuvent préférer avoir une personne au sein du personnel qui se consacre entièrement à leur cybersécurité. Avec un service VCISO, leur équipe d’experts CISO serait répartie entre plusieurs autres entreprises, ce qu’elles préféreraient éviter – même si une telle configuration présente des avantages en termes de coûts et de connaissances (les équipes travaillant avec plusieurs clients peuvent appliquer aux autres les leçons apprises avec une entreprise).
Un autre avantage d’avoir un CISO en interne est l’impact potentiel sur l’image publique de l’entreprise. Le fait de pouvoir conserver un cadre de niveau C dédié à la cybersécurité permet de démontrer que l’entreprise dispose des ressources nécessaires pour gérer efficacement la sécurité et du dévouement nécessaire pour la mener à bien – ce qui peut avoir des répercussions positives en dehors de la simple amélioration de l’architecture de sécurité de l’entreprise.
Enfin, le fait d’avoir un CISO en interne donne aux personnes de votre organisation quelqu’un à qui elles peuvent directement faire rapport concernant les problèmes de cybersécurité. Cela permet de sensibiliser et de faire respecter les initiatives de sécurité critiques dans votre entreprise. Être en mesure de distribuer et de recueillir directement des rapports avec les personnes de l’entreprise (et avoir l’autorité interne pour faire coller les décisions de politique de sécurité) peut faire un monde de différence dans la façon dont les initiatives de cybersécurité sont exécutées.
Donc, lequel est le meilleur pour votre organisation ? Eh bien, la réponse dépend de vos objectifs et des ressources dont vous disposez déjà. Les entreprises vraiment massives bénéficieront le plus souvent d’un CISO interne avec un personnel de soutien dédié à la cybersécurité en interne. Pendant ce temps, les organisations plus petites pourraient avoir besoin de tirer parti des avantages en termes de coût et de service 24/7 que l’utilisation d’un CISO virtuel peut fournir.
Vous avez besoin d’aide pour optimiser vos politiques et procédures de cybersécurité, mais vous n’êtes pas vraiment sûr qu’un service de CISO virtuel vous convienne ? Contactez l’équipe de Compuquip pour parler de vos besoins en matière de sécurité et de la façon d’y répondre.
.