Passer au contenu principal
Rechercher sur le site
  1. Accueil
  2. Blog
  3. Jamf Security Lounge : Stratégies de défense à grande échelle – Le RSSI, maître d’échecs et gardien de but

Jamf Security Lounge : Stratégies de défense à grande échelle – Le RSSI, maître d’échecs et gardien de but

Dans cet épisode de Jamf Security Lounge, Aaron Webb, directeur senior du marketing produits, Sécurité, accueille Aaron Kiemele, RSSI de Jamf, pour discuter des complexités de son rôle.

Août 2 2023 Par

Hannah Hamilton

Rôles et responsabilités du RSSI

Pour commencer, A. Kiemele évoque la première mission du RSSI : assurer la sécurité de l’entreprise et encourager l’adoption de comportements et d’attitudes favorables à la réussite commerciale. Avec son équipe, il développe les compétences de sécurité dans l’ensemble de l’entreprise. Il diffuse les bonnes pratiques en gardant à l’esprit que la course à la sécurité n’a pas de « ligne d’arrivée ». Pour atteindre ces objectifs, il doit se tenir au courant des dernières menaces et tendances du marché. A. Kiemele fait un rapide inventaire des ressources grâce auxquelles il s’informe de l’évolution constante du paysage de la sécurité : des livres, des conférences comme Black Hat, RSA ou DEF CON, des podcasts comme Darknet Diaries ou Mac Admins Podcast, et bien d’autres encore.

Élaborer une stratégie de cybersécurité

A. Webb et A. Kiemele explorent les stratégies et les cadres de cybersécurité. A. Kiemele recommande de commencer par choisir un cadre fiable – ISO 27001, SOC 2, UK Cyber Essentials – ou un cadre plus généraliste comme NIST CSF. Il faut ensuite le décomposer en problématiques plus digestes pour les traiter individuellement. A. Webb plusieurs outils qui facilitent la mise en œuvre du cadre choisi. Pour la conformité réglementaire et la protection des données, Kiemele recommande de faire des recherches approfondies pour connaître les obligations de votre entreprise, puis de viser les contrôles prescrits par votre cadre.

Pour réussir, votre stratégie de cybersécurité doit faciliter les opérations de l’entreprise et encourager une culture de sensibilisation à la sécurité. A. Kiemele nous rappelle que « la sécurité fait partie intégrante de l’entreprise, ce n’est pas une fonction indépendante ». Elle a un rôle d’autonomisation et doit soutenir les objectifs commerciaux tout en amenant les risques à un niveau gérable. A. Kiemele et A. Webb discutent des approches pour parvenir à cet équilibre délicat.

Pour créer une culture sensible à la sécurité, A. Kiemele insiste sur l’importance de la transparence et de l’ouverture dans la communication avec les autres services. Avec son équipe, il s’efforce de gérer les risques tout en évaluant en permanence leur incidence sur les autres objectifs. Il s’appuie d’ailleurs beaucoup sur les retours d’information émanant d’autres groupes de l’organisation. Il nous encourage également à considérer les autres comme un atout pour l’entreprise, et non comme un risque.

A. Webb et A. Kiemele évoquent également l’IA et le ML, qui peuvent être exploités par les pirates aussi bien que par les professionnels de la cybersécurité. Regardez ou écoutez la session pour en savoir plus.

Vie privée de l’utilisateur final et sécurité

Lorsqu’on élabore une règle de sécurité dans une organisation qui utilise Apple, il faut garder une chose en tête : les utilisateurs ont généralement des droits d’administrateur sur leur appareil, et ils sont plus susceptibles d’installer les nouvelles versions de l’OS. Pour A. Kiemele, les appareils Apple sont un avantage de poids dans la grande entreprise : ils sont plus faciles à sécuriser avec moins d’outils, et les conditions de défaillance sont plus simples à interpréter. Même si les utilisateurs disposent de privilèges d’administrateurs locaux, le risque qu’ils installent des applications malveillantes est limité car les apps sont vérifiées sur l’App Store. A. Webb et A. Kiemele s’attardent sur les différences entre la sécurité des appareils Apple et celle de Windows : écoutez la session pour en savoir plus !

Ils abordent également la question de la vie privée des utilisateurs. Les utilisateurs utilisent parfois leurs appareils à l’insu de leur entreprise parce qu’ils craignent pour le respect de leur vie privée. Il est vrai que, par le passé, certaines organisations ont pu récolter des données personnelles. Mais cette pratique est dépassée, estime A. Kiemele. L’informatique doit déjà traiter une multitude d’informations. Les données personnelles ne permettent pas de corriger les problèmes qui affectent un appareil : il n’y a donc aucune raison de les collecter.

Paroles de sagesse

A. Kiemele donne quelques conseils aux RSSI et à toutes les personnes qui veulent se lancer dans le monde de la cybersécurité.

  • Vous débutez dans le métier de RSSI : par où commencer
  • L’influence de votre parcours sur votre capacité à devenir un professionnel de la cybersécurité
  • Comment développer des compétences en sécurité
  • Comment développer ses compétences de networking et de prise de parole en public

La session se conclut sur les trois conseils d’A. Kiemele pour atténuer les risques :

  1. Identifiez vos trésors et protégez-les en priorité
  2. Ne soyez pas le « service du non » : soutenez les fonctions métier, éduquez, défendez la sécurité, et choisissez soigneusement vos combats si vous devez dire non.
  3. Les reproches ne servent à rien. Acceptez les erreurs et tirez-en les leçons pour aller de l’avant.

Regardez le webinaire pour découvrir le quotidien d’un RSSI.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes:
Ressources connexes