Le 13 octobre dernier, le cabinet de conseil-audit PwC à Luxembourg a organisé une journée dédiée à la Cybersécurité et Privacy. L’occasion pour Roude Léiw le mag. de rencontrer deux spécialistes du secteur, Maxime Pallez et Antonin Jakubse (Senior Managers) qui sont à la base d’une étude sur le rôle du CISO et du DPO. Voici une bonne occasion de se familiariser avec ce vocabulaire encore méconnu et de découvrir les résultats de l’enquête.

CISO et DPO : comment les définir ?

MP: Le CISO (Responsable Sécurité des Systèmes d'Information ou « Chief Information Security Officer ») est une fonction-clé sur laquelle repose en grande partie la réussite du programme sécurité d’une entreprise. Le CISO a pour objectif de protéger l’information de la société. Il analyse les risques de sécurité de l’information, définit les objectifs à appliquer en matière de sécurité, et organise la défense contre les hackers. Le DPO (Délégué à la protection des données, aussi appelé DPO pour « Data Protection Officer »), est la personne chargée de s’assurer que l’utilisation des données à caractère personnel par l’organisation est conforme aux règles en vigueur.

AJ: Le DPO protège et conseille aussi la société. Il se concentre plus sur la protection des données à caractère personnel. Exemple : les données relatives aux salariés, aux clients, aux fournisseurs, etc. Si le CISO est une fonction qui existe depuis plusieurs années, le DPO n'a fait son apparition qu’en 2018, suite au RGPD (Règlement Général sur la Protection des Données). Ce sont deux fonctions complémentaires qui ont souvent besoin l’une de l’autre.

Maxime Pallez, PwC Cybersecurity Senior Manager

On entend parfois qu’il existe des tensions entre les CISO/DPO et leur direction. Pourquoi?

AJ: Oui, effectivement, cela peut arriver. Les attentes des dirigeants d’un côté, les obligations à respecter de l’autre peuvent amener quelques tensions. En rappelant les règles à appliquer aux dirigeants, les CISO et DPO peuvent parfois être perçus comme des freins à la croissance d’une entreprise. Il est important de comprendre qu’une entreprise ne peut pas faire ce qu’elle veut avec les données personnelles non plus. Le DPO peut apporter une compréhension de la réglementation européenne en matière de protection des données personnelles, qui est à la fois complexe et technique, à sa direction pour augmenter l’efficacité des processus d’une entreprise. Les CISO et les DPO peuvent, et doivent, en effet augmenter leur visibilité dans l’entreprise en apportant des solutions, et pas uniquement des problèmes.

Antonin Jakubse, PwC Senior Manager

Que peut-on protéger dans une entreprise ?

MP: Généralement, les données relatives de ses clients, de ses employés ou encore des informations “corporate” (données stratégiques de l’entreprise) sont les données les plus importantes. On n’arrivera jamais à se protéger à 100%, on se fera pirater un jour ou l’autre, mais le but est de retarder ce moment et de limiter l’impact. On entend beaucoup le chiffre de 150 jours moyen pour remarquer un piratage éventuel de son système. L’objectif est de réduire cette durée ! Si une entreprise attend de se faire pirater pour organiser sa défense, il est fort à parier que cela lui coûtera beaucoup plus d’argent que si elle avait mis les moyens et dispositifs plus tôt.

Lors de cette journée, vous avez présenté une étude. De quoi parle-t-on exactement dans celle-ci ?

MP: Cette étude a été réalisée de mars à septembre 2022. En collaboration avec le CLUSIL (Club de la Sécurité de l'Information) et la CNPD (Commission Nationale pour la Protection des Données), nous avons récolté une série de données auprès d’une centaine de nos partenaires luxembourgeois. On s’est intéressé au profil du CISO et du DPO, on voulait savoir comment cela se passait sur le terrain. Quelle était la relation avec leur dirigeant, etc.

Quelle conclusion en tirez-vous ?

AJ: Quand on regarde les résultats de plus près, on constate que les challenges des deux (CISO et DPO) sont assez similaires. On parle de compréhension et de sensibilisation du management par rapport à leur position. On remarque qu’il y a encore quelques sociétés qui n’ont pas forcément compris les enjeux de la Cybersécurité et ou de la protection des données personnelles. Pourquoi ? Un manque de connaissance et de compréhension sans doute. Se dire que ça n’arrivera qu’aux autres, car je suis une petite société ? Un manque de volonté d’investir dans ce domaine, de l’argent inutilement dépensé selon eux. Le fait aussi qu’il ne leur est rien arrivé depuis des années… C’est évidemment dangereux et avec le temps, ce phénomène de hacking sera de plus en plus fréquent. Et quand le mal est fait, il est trop tard.

MP: Nous avons eu quelques surprises avec les résultats de cette édition : des sociétés qui n’avaient pas l’air d’être au courant de l’application de la réglementation en vigueur : le GDPR , appliqué au niveau européen depuis 2018. On en apprend aussi sur leur statut : le CISO et DPO sont généralement des positions assez expérimentées, salariés de l’entreprises et le CISO venant plutôt du milieu informatique, le DPO venant plutôt du milieu légal. Une grosse partie du travail est liée à la compréhension des réglementations et à l’application des mesures de sécurité dans l’environnement informatique et technique. Malgré des tendances positives, on constate encore des entreprises qui peinent à investir dans la sécurité de l’information et la protection des données, et à créer une culture de gestion de risque.