• Comment constituer une équipe de cybersécurité hautement performante pour votre entreprise

Comment constituer une équipe de cybersécurité hautement performante pour votre entreprise

Blog, Cybersécurité

Découvrez comment constituer une équipe de cybersécurité hautement performante : de la définition de la structure à l'évaluation des résultats, en passant par le recrutement axé sur l'état d'esprit.

par Ahona Rudra

Dernière mise à jour :
9 Temps de lecture : 9 min
Comment constituer une équipe de cybersécurité hautement performante pour votre entreprise

Points clés à retenir

  • Une équipe de cybersécurité performante repose sur des rôles et des responsabilités clairement définis, et non pas uniquement sur le nombre de ses membres.
  • Recrutez des candidats faisant preuve de curiosité, d'adaptabilité et de compétences en communication, puis investissez dans la formation continue et les certifications.
  • Désigner un responsable dédié à la sécurité des e-mails, notamment à la gestion des SPF, DKIM et DMARC.
  • Évaluez l'efficacité de votre équipe à l'aide d'indicateurs axés sur les résultats, tels que le MTTD, le MTTR et la résilience face au hameçonnage.
  • Considérez la cybersécurité comme un investissement continu en actualisant régulièrement les structures de vos équipes, leurs compétences et vos processus de sécurité.

La plupart des entreprises pensent qu’en disposant des bons outils de sécurité, elles ont tout prévu en matière de sécurité. Un pare-feu par-ci, une solution antivirus par-là, voire un SIEM si elles se sentent ambitieuses. Mais si l’on examine les organisations victimes des violations les plus graves, la faille réside rarement dans la technologie. Elle réside plutôt dans les personnes et la structure qui se cachent derrière.

La mise en place d'une équipe de cybersécurité efficace ne se résume pas à une question d'effectifs. Il s'agit avant tout de couvrir les fonctions essentielles, de disposer des compétences adéquates et d'instaurer une culture d'entreprise où la sécurité est considérée comme une priorité à tous les niveaux. Que vous partiez de zéro ou que vous cherchiez à faire évoluer une équipe de sécurité de l'information déjà en place, les principes restent les mêmes : la structure d'abord, les compétences ensuite, et un investissement continu tout au long du processus.

Voici comment procéder à chaque étape.

Pourquoi chaque entreprise a besoin d'une équipe dédiée à la cybersécurité

La cible s'est désormais déplacée vers les petites entreprises

Les cybermenaces ne sont plus un problème réservé aux grandes entreprises. Les petites et moyennes entreprises comptent désormais parmi les organisations les plus ciblées, précisément parce que les cybercriminels savent qu’elles sont moins susceptibles de disposer de systèmes de défense sophistiqués. Selon les données du secteur, la majorité des fuites de données concernent des organisations comptant moins de 1 000 employés. L’idée selon laquelle une entreprise est trop petite pour mériter d’être attaquée est l’une des idées fausses les plus dangereuses en matière de sécurité aujourd’hui.

Le coût d'une violation de données va bien au-delà de l'incident lui-même

Le paysage des menaces a également considérablement évolué. Les pirates ne se contentent plus de recourir uniquement aux attaques par force brute. Les campagnes de hameçonnage, les ransomwares en tant que service, les compromissions de la chaîne d’approvisionnement et les attaques par usurpation d’identité professionnelle sont désormais sophistiquées, évolutives et souvent automatisées. Une seule attaque réussie peut entraîner des amendes réglementaires, une responsabilité juridique, une atteinte à la réputation et des interruptions d’activité dont le coût dépasse de loin celui qu’aurait représenté l’investissement dans une équipe de cybersécurité adéquate.

Conformité et pression concurrentielle

Les exigences de conformité ajoutent une pression supplémentaire. Des réglementations telles que le RGPD, la loi HIPAA, la norme SOC 2 et la norme ISO 27001 exigent de plus en plus des organisations qu’elles démontrent qu’elles ont mis en place des contrôles de sécurité formels et désigné des responsables. Il est difficile de passer un audit ou d’obtenir une certification sans une équipe de cybersécurité qui assure au quotidien la gestion de ces contrôles. Pour les entreprises qui travaillent avec des clients professionnels ou qui opèrent dans des secteurs réglementés, disposer d’une fonction de sécurité mature devient rapidement une exigence commerciale, et non plus seulement une bonne pratique.

Au-delà des questions de risque et de conformité, une équipe de cybersécurité bien structurée constitue un véritable avantage concurrentiel. Elle permet à votre entreprise de remporter des contrats d’envergure qui exigent des questionnaires de sécurité, de satisfaire aux contrôles de diligence raisonnable des fournisseurs et de démontrer à ses clients que leurs données sont traitées de manière responsable. Sur les marchés où la confiance est un facteur de différenciation, la sécurité n’est pas seulement un centre de coûts : elle fait partie intégrante de la proposition de valeur.

1. Définissez la structure de votre équipe de cybersécurité avant de recruter

Définir les fonctions avant de rédiger les descriptions de poste

L'une des erreurs les plus courantes commises par les entreprises est d'essayer de confier toutes les tâches à une seule personne. Un collaborateur chargé de la sécurité qui doit à lui seul s'occuper de la détection des menaces, de la gestion des incidents, de la conformité, de la sécurité du cloud et de la formation des utilisateurs finira rapidement par être surmené – et votre système de sécurité présentera de graves lacunes que vous ne découvrirez peut-être que lorsqu'il sera trop tard.

Avant de publier une offre d'emploi, déterminez précisément les fonctions de sécurité dont votre organisation a réellement besoin. Pour la plupart des équipes de cybersécurité, cela comprend :

  • Surveillance et détection des menaces
  • Réponse aux incidents et reprise après sinistre
  • Gestion des identités et des accès
  • Sécurité du cloud et des infrastructures
  • Conformité et gestion des risques
  • Formation à la sensibilisation à la sécurité destinée à l'ensemble du personnel
  • Sécurité des e-mails et authentification de domaine

Il n'est pas nécessaire de disposer d'emblée d'une personne dédiée à chaque fonction, mais il faut qu'une personne soit responsable de chacune d'entre elles. Dans les petites structures, un seul responsable de la sécurité expérimenté peut prendre en charge trois ou quatre de ces domaines, tandis que des prestataires externes ou des fournisseurs de services gérés se chargent du reste. Dans les environnements plus importants, chaque fonction peut justifier la mise en place de sa propre équipe.

Définir la structure de votre équipe de cybersécurité avant de recruter facilite grandement l'identification des lacunes, la rédaction de descriptions de poste précises, la définition des attentes et la planification de votre stratégie de recrutement pour les un à trois prochaines années. Cela permet également d'éviter l'écueil courant qui consiste à constituer une équipe de manière réactive, c'est-à-dire à renforcer les effectifs après un incident plutôt qu'avant.

Définir correctement les lignes hiérarchiques

Réfléchissez également bien aux liens hiérarchiques. Les équipes de cybersécurité qui relèvent directement de la direction informatique constatent souvent que leurs recommandations en matière de risques sont reléguées au second plan au profit des exigences opérationnelles. Dans la mesure du possible, le fait que votre service de sécurité relève d’un RSSI ou directement d’un cadre supérieur lui confère le poids organisationnel nécessaire pour être efficace.

2. Recruter en fonction de l’état d’esprit, puis former aux compétences

La curiosité et la capacité d'adaptation priment sur les diplômes

Les certifications comptent. Les compétences techniques comptent. Mais si vous avez déjà mené des entretiens avec deux candidats – l’un doté d’un CV impressionnant et donnant des réponses toutes faites, et l’autre posant des questions inattendues et réfléchissant à voix haute à des problèmes qu’il n’a jamais rencontrés auparavant –, vous savez déjà lequel vous souhaitez avoir dans votre équipe de cybersécurité lorsque les choses tournent mal.

La cybersécurité est un domaine où la curiosité et la capacité d’adaptation sont indispensables. Le paysage des menaces évolue sans cesse. Des techniques qui étaient à la pointe il y a deux ans sont désormais largement documentées dans les manuels des pirates. Une personne qui excellait il y a trois ans mais qui a cessé d’apprendre est déjà à la traîne. Les meilleures décisions de recrutement en matière de cybersécurité privilégient les candidats qui se tiennent informés des dernières évolutions, contribuent à la communauté et font preuve d’un engagement sincère envers le domaine, au-delà de leur simple description de poste.

Recherchez des personnes capables de montrer comment elles raisonnent, et pas seulement ce qu’elles savent. Demandez-leur de vous décrire en détail un incident récent qu’elles ont géré, d’expliquer comment elles ont abordé un problème auquel elles n’avaient jamais été confrontées auparavant, ou d’exposer un concept technique complexe à un public non initié. Ces trois éléments en disent bien plus long qu’une simple liste de certifications.

La communication est une compétence en matière de sécurité

La communication est particulièrement sous-estimée dans le recrutement en cybersécurité. Votre équipe devra informer la direction, collaborer avec les services juridiques et de conformité, rédiger des rapports d’incident et expliquer les risques à des personnes qui n’ont pas de formation technique. Un analyste brillant qui ne sait pas communiquer clairement ses conclusions crée en soi une forme de vulnérabilité. L’incapacité à traduire les risques de sécurité en langage métier est l’une des raisons les plus courantes pour lesquelles les équipes de cybersécurité perdent leurs batailles budgétaires et leur crédibilité au sein de l’organisation.

La diversité des parcours renforce également une équipe de cybersécurité. Les personnes ayant travaillé dans différents secteurs, occupé des postes hors du domaine de la sécurité ou issues de disciplines telles que le droit, la psychologie ou l'ingénierie des systèmes apportent souvent des points de vue qui échappent aux recrutements purement techniques. Les pirates ont une vision globale. Votre équipe devrait en faire autant.

3. Définir clairement les responsabilités en matière de sécurité des e-mails au sein de votre équipe de cybersécurité

Attribuer, clarifier, sécuriser et définir les responsabilités au sein de votre équipe de cybersécurité -

L'e-mail reste le vecteur d'attaque numéro un. Le phishing, le piratage des comptes de messagerie professionnels et l'usurpation de domaine représentent chaque année une part importante des intrusions réussies, et de nombreuses organisations ne disposent toujours pas de protocoles d'authentification adéquats. La raison est presque toujours la même : personne n'en est responsable.

Maîtrisez vos paramètres SPF, DKIM et DMARC – Ne vous contentez pas de les configurer une fois pour toutes

Toute équipe de cybersécurité a besoin d’une personne clairement désignée et dont les responsabilités en matière de sécurité des e-mails sont formellement documentées. Cela implique de configurer et de maintenir les enregistrements SPF, DKIM et DMARC, de surveiller les échecs d’authentification dans les rapports agrégés DMARC, et de prendre les mesures qui s’imposent à la lumière de ces rapports. Cela implique également de revoir régulièrement la liste des expéditeurs autorisés à mesure que votre écosystème de fournisseurs évolue. Enfin, cela implique de signaler les problèmes lorsque des e-mails légitimes échouent à l’authentification, avant que cela ne devienne un problème de délivrabilité venant s’ajouter au problème de sécurité.

Une stratégie solide de sécurité des e-mails d'entreprise n'a pas besoin d'être compliquée, mais elle doit être mûrement réfléchie. Les organisations qui considèrent l'authentification des e-mails comme une tâche ponctuelle plutôt que comme une responsabilité permanente ont tendance à se tourner vers des politiques DMARC peu rigoureuses ou non appliquées, ce qui signifie que les attaquants peuvent toujours usurper librement l'identité de leur domaine.

Se protéger contre l'usurpation de nom de domaine et le hameçonnage

Les attaques par usurpation de domaine sont particulièrement dangereuses, car elles ciblent vos clients, vos partenaires et vos collaborateurs en utilisant l’identité de votre propre marque. Un e-mail frauduleux bien conçu et provenant de votre domaine est bien plus convaincant qu’un message envoyé depuis une adresse inconnue. La mise en œuvre de DMARC, lorsqu’elle est correctement effectuée, permet de fermer cette brèche. Mais cela nécessite qu’un membre de l’équipe de cybersécurité maîtrise les protocoles, les surveille en permanence et dispose de l’autorité nécessaire pour en imposer l’application au moment opportun.

Au-delà de l'authentification, la mise en place régulière de simulations d'hameçonnage auprès de l'ensemble de votre personnel constitue l'une des activités les plus rentables que votre équipe de cybersécurité puisse mener. Cela permet d'identifier les personnes qui ont besoin d'une formation complémentaire, de mesurer les progrès réalisés au fil du temps et d'éviter que la sensibilisation à la sécurité ne devienne une simple formalité administrative.

4. Investissez dans des certifications adaptées à votre environnement

Les certifications constituent l'un des meilleurs indicateurs dont vous disposez lors de la sélection des candidats, et l'un des investissements les plus judicieux que vous puissiez réaliser pour développer votre équipe de cybersécurité actuelle. Cependant, toutes les certifications ne présentent pas la même pertinence pour le domaine d'activité de votre organisation.

Certifications de base pour les jeunes professionnels

Les certifications de base telles que CompTIA Security+ et Certified Ethical Hacker (CEH) couvrent un large éventail de principes de sécurité et constituent un atout précieux pour les jeunes professionnels en début de carrière ou pour les collaborateurs qui se réorientent vers la sécurité après avoir occupé des postes dans des domaines connexes. Pour les professionnels plus expérimentés, les certifications spécifiques à un poste ont tendance à offrir davantage de valeur ajoutée, tant en termes de développement des compétences pratiques que de crédibilité professionnelle.

Certifications en sécurité du cloud : CCSP et au-delà

Si votre infrastructure repose en grande partie sur le cloud – ce qui est le cas de la plupart des entreprises aujourd’hui –, votre équipe de cybersécurité doit disposer d’une expertise en matière de sécurité du cloud. La sécurité du cloud présente des modèles d’architecture, des modèles de responsabilité partagée, des risques liés à la configuration et des surfaces d’exposition aux menaces qui lui sont propres et qui nécessitent des connaissances spécifiques. Un candidat possédant une solide expérience des environnements sur site ne dispose pas automatiquement des compétences nécessaires pour sécuriser un environnement natif du cloud.

La certification « Certified Cloud Security Professional » (CCSP) est l’une des certifications les plus reconnues dans ce domaine. Elle couvre l’architecture cloud, la sécurité des données, l’infrastructure, les opérations, ainsi que les aspects juridiques et de conformité – soit exactement l’étendue des connaissances dont vous avez besoin lorsque vos charges de travail critiques ne sont plus hébergées dans un centre de données sur site. Si vous recrutez pour un poste lié à la sécurité du cloud, il est judicieux de considérer la certification CCSP comme un atout majeur dans vos critères de sélection. Si votre équipe de cybersécurité compte déjà des membres chargés de gérer l’infrastructure cloud, les aider à suivre une formation CCSP constitue l’un des investissements les plus pertinents que vous puissiez réaliser en matière de développement professionnel.

Pour les membres de l'équipe chargés de la gestion des incidents, les certifications GIAC telles que le GCIH ou le GCFA offrent une formation approfondie et pratique. Pour les postes axés sur la conformité, les certifications CISM et CISSP restent la référence. Le principe fondamental est le même pour toutes ces certifications : elles doivent correspondre au travail réel effectué par la personne, et non pas simplement faire bonne impression sur le papier.

5. Évaluez les activités réelles de votre équipe de cybersécurité

Les équipes de cybersécurité qui ne disposent pas d'indicateurs de performance sont invisibles aux yeux de la direction. Or, ce sont ces équipes qui sont les premières à voir leur budget, leurs effectifs et leur influence au sein de l'entreprise réduits lorsque les priorités changent. Plus important encore, si vous ne mesurez pas les bons indicateurs, vous ne savez pas réellement dans quelle mesure votre entreprise est protégée.

Commencez par le MTTD, le MTTR et la conformité aux correctifs

Commençons par les principes fondamentaux : le temps moyen de détection (MTTD) mesure le temps nécessaire à votre équipe de cybersécurité pour identifier une menace après son apparition. Le temps moyen de réponse (MTTR) mesure la rapidité avec laquelle vous la maîtrisez et y remédiez. Ensemble, le MTTD et le MTTR vous donnent une image claire et fidèle de l’efficacité opérationnelle de votre équipe. Le suivi régulier des indicateurs de cybersécurité fournit également à votre équipe des objectifs concrets vers lesquels tendre, ce qui est essentiel pour l’orientation, la concentration et le moral.

Au-delà des indicateurs MTTD et MTTR, pensez à suivre les taux de conformité aux correctifs (quel pourcentage des vulnérabilités connues est corrigé dans le délai que vous vous êtes fixé), les taux de clics lors des simulations de hameçonnage au fil du temps, le délai moyen de maîtrise après la détection d'un incident, ainsi que le nombre de constatations critiques issues des audits internes ou des tests d'intrusion. Chacun de ces indicateurs apporte un éclairage différent sur la situation.

Considérer les indicateurs de performance comme des résultats commerciaux, et non comme des rapports informatiques

Passez en revue vos indicateurs lors des réunions régulières de la direction et présentez-les en termes commerciaux. Si la direction comprend que réduire le MTTR de quatre heures à quatre-vingt-dix minutes limite considérablement l’ampleur d’une intrusion en cours, la sécurité cesse d’être abordée sous l’angle des coûts pour devenir un sujet de gestion des risques. Ce changement de perspective modifie la manière dont votre équipe de cybersécurité est financée et soutenue.

Évitez le piège qui consiste à ne mesurer que l'activité : tickets clôturés, alertes examinées, correctifs appliqués. Ces chiffres peuvent sembler satisfaisants alors que le risque réel ne cesse de croître sans être pris en compte. Les meilleurs indicateurs de cybersécurité mesurent les résultats, et pas seulement les efforts déployés.

6. Considérez votre équipe de cybersécurité comme un investissement à long terme

Considérez votre équipe de cybersécurité comme un investissement à long terme

Les organisations qui affichent les meilleures pratiques en matière de sécurité ne sont pas celles qui se sont contentées de recruter les bonnes personnes une seule fois. Ce sont celles qui continuent d’investir dans leur équipe de cybersécurité année après année, qui adaptent leur structure à mesure que le paysage des menaces évolue, et qui considèrent la sécurité comme une discipline opérationnelle permanente plutôt que comme un projet doté d’une ligne d’arrivée.

Prévoir un budget pour la formation et définir des parcours professionnels clairs

Cela implique de prévoir chaque année un budget dédié à la formation et au développement professionnel, et pas seulement lors du déploiement d’un nouvel outil. Cela implique également de définir des parcours professionnels clairs afin que les collaborateurs les plus performants n’aient pas l’impression de devoir partir pour évoluer. Les professionnels de la sécurité sont très recherchés, et le coût lié à la perte d’un membre expérimenté de l’équipe au profit d’un concurrent est élevé – non seulement en termes de temps consacré au recrutement et à l’intégration, mais aussi en raison du savoir-faire institutionnel qui s’en va avec lui.

Cela implique également de revoir régulièrement la structure de votre équipe de cybersécurité. L’équipe dont vous aviez besoin il y a deux ans n’est peut-être plus celle dont vous avez besoin aujourd’hui. Si votre organisation a migré des charges de travail vers le cloud, acquis une nouvelle unité opérationnelle ou lancé un nouveau produit présentant sa propre surface d’attaque, les domaines de compétence de votre équipe doivent refléter ces changements. Un bilan annuel du programme de sécurité, qui évalue à la fois le paysage des menaces et les capacités actuelles de votre équipe, constitue un moyen pratique de garder une longueur d’avance sur ces évolutions.

Instaurer une culture où les risques sont pris en compte

Créez un environnement dans lequel votre équipe puisse signaler les risques sans se heurter à des obstacles bureaucratiques. L’une des constantes que l’on retrouve dans les organisations victimes de violations graves est qu’un membre de l’équipe de sécurité avait fait part d’une préoccupation qui n’avait pas été prise en compte. Qu’il s’agisse d’un problème structurel, culturel ou de communication, il est important de l’identifier et d’y remédier de manière proactive.

Offrez à votre équipe de cybersécurité la structure, les outils, les certifications et le soutien organisationnel dont elle a besoin pour fonctionner à un niveau optimal. Cet investissement se répercutera directement sur votre niveau de sécurité – et sur votre capacité à réagir lorsque cela compte le plus.

Protégez votre nom de domaine avant que des pirates ne s'en emparent

Une équipe de cybersécurité performante ne se contente pas de politiques rigoureuses et de personnel qualifié : elle doit également disposer des contrôles techniques adaptés. L’authentification des e-mails constitue l’un des piliers les plus importants, mais aussi les plus négligés, de cette infrastructure.
PowerDMARC aide votre équipe de cybersécurité à mettre en œuvre SPF, DKIM et DMARC, à bénéficier d’une visibilité totale sur les expéditeurs agissant au nom de votre domaine, et à bloquer les attaques par usurpation d’identité avant qu’elles n’atteignent vos clients ou vos collaborateurs. Analysez gratuitement votre domaine pour évaluer l’état actuel de votre authentification.

CTA

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Sécurité des e-mails et de la paie au sein des RH : bonnes pratiques pour les équipes internationalesSécurité des ressources humaines, de la messagerie électronique et de la paieReconnaissance en matière d'hameçonnage : comment les pirates identifient et ciblent les domaines vulnérables...