Discussion avec un RSSI : entretien avec Markus Kaufmann

Le parcours de Markus reflète une évolution de carrière à multiples facettes, qui repose sur une base solide en matière de travail informatique pratique et de mise en place d'un programme de sécurité et de conformité des informations, dans le cadre duquel ses connaissances cumulées fournissent une approche globale de la gestion des cyberrisques axée sur les données.

C-Risk : Pouvez-vous nous parler de votre parcours de quantification des cyberrisques et de la façon dont vous avez découvert la méthodologie FAIR pour la première fois ?

Markus Kaufmann : Lorsque j'ai rejoint Funko en tant que RSSI, j'ai découvert la méthodologie FAIR pour effectuer des évaluations quantitatives des risques par l'intermédiaire de Tom Callaghan, qui occupait le poste de VRSSI à l'époque.

Venant d'une expérience où nous utilisions principalement des méthodologies d'évaluation qualitative des risques, que j'avais contribué à développer chez Wells Fargo, il était incroyablement rafraîchissant de voir les risques et les données quantifiés de cette manière.

Et au fil des ans, vous savez, c'est devenu frustrant, car les évaluations qualitatives ne permettent pas de faire grand-chose, et voir ce que C-Risk a fait pour Funko était comme une bouffée d'air frais. Cela m'a permis de parler la langue de l'entreprise. Au lieu de s'appuyer sur l'ancien modèle des « feux de signalisation » comportant des risques rouges, jaunes, verts, élevés, moyens et faibles, où presque tout finissait invariablement par un risque moyen, FAIR a fourni des données réelles et quantifiables.

Cela m'a non seulement permis d'avoir de meilleures discussions avec le conseil d'administration, mais m'a également aidé à comprendre rapidement les défis de sécurité spécifiques de Funko, car j'ai été chargé de créer son programme de sécurité de l'information à partir de zéro.

Comment avez-vous abordé la création du programme de sécurité de l'information de Funko à partir de zéro ? Quelles ont été les principales mesures que vous avez prises ?

Markus : Lorsque j'ai rejoint Funko, ma première tâche était de déterminer les mesures de sécurité mises en place et d'identifier les failles les plus critiques. Les évaluations FAIR que nous avions effectuées précédemment ont été extrêmement utiles dans ce processus. J'ai également effectué ma propre évaluation à l'aide des principaux contrôles de la CEI et du cadre ISO, en comparant les résultats avec le modèle de maturité du NIST CSF.

Au cours des deux années qui ont suivi, j'ai élaboré le programme de sécurité et le programme de conformité, en prenant en charge les contrôles généraux informatiques SOX 404.

Nous avons mis en place de nombreux contrôles de sécurité et renforcé les processus pour répondre aux exigences de la SOX. J'ai constitué une équipe qui s'est agrandie pour inclure trois employés à temps plein et trois sous-traitants, en plus du travail que C-Risk a effectué pour nous en matière de conformité et d'évaluation des risques.

Grâce à ces efforts, nous avons pu faire passer la maturité de sécurité de Funko de 1.8 à 3.3 en un peu moins de deux ans, ce que je considère comme impressionnant compte tenu de la petite taille de notre équipe.

Comment avez-vous abordé la budgétisation et la planification du développement de ce programme de sécurité ?

Markus : Quand je suis arrivé, il n'y avait pas de budget dédié à la sécurité. Tout était intégré au budget de l'infrastructure informatique sous la forme d'une somme forfaitaire. J'ai donc dû repartir de zéro en termes de budgétisation et de planification.

J'ai beaucoup travaillé pour ventiler les coûts spécifiques à la sécurité et prévoir les besoins futurs. Mon approche a consisté à créer une feuille de route stratégique. Tout d'abord, j'ai créé une feuille de route d'un an sur la base de l'analyse initiale des écarts. Ensuite, j'ai élaboré une feuille de route stratégique triennale.

Cette approche m'a permis de proposer et de justifier le budget nécessaire au conseil d'administration et aux parties prenantes. Il était essentiel de communiquer clairement nos besoins en matière de sécurité, les coûts associés et les améliorations attendues de notre posture de sécurité au fil du temps.

‍

Vous avez évoqué l'importance de la collaboration en matière de sécurité de l'information. Pouvez-vous détailler votre approche ?

Markus : Absolument. Pour moi, la clé du succès en matière de sécurité de l'information est la collaboration dans tous les domaines, et pas seulement au sein de l'informatique. Je pense que trop de programmes de sécurité de l'information commettent l'erreur de mettre des œillères et de ne regarder que la technologie, en oubliant les personnes et les processus.

À mon avis, les trois éléments, à savoir la technologie, les personnes et les processus, sont tout aussi importants. Plus les relations sont solides et plus vous pouvez collaborer avec vos partenaires commerciaux, plus votre programme de sécurité de l'information sera efficace.

Cette approche collaborative nous a permis d'obtenir une vision plus complète de notre environnement de risques et de nous assurer que nos mesures de sécurité étaient adaptées aux besoins et aux réalités de l'ensemble de l'entreprise.

Une amélioration notable a été une conversation très instructive avec le service juridique. Cela nous a permis de comprendre les facteurs de risque secondaires, tels que les coûts potentiels des recours collectifs pour l'entreprise.

‍

Comment les évaluations FAIR ont-elles aidé à analyser la couverture d'assurance contre les cyberrisques chez Funko ?

Markus : Les évaluations FAIR ont été très utiles pour évaluer notre couverture d'assurance contre les cyberrisques. Nous avons examiné chaque scénario de risque que nous avions élaboré et l'avons comparé à notre police d'assurance contre les cyberrisques pour voir si et dans quelle mesure chaque scénario était couvert.

Cette analyse nous a permis d'identifier les domaines dans lesquels nous avions une bonne couverture et a également révélé un ou deux éléments qui n'étaient pas couverts. Ces informations ont donné lieu à des discussions sur la possibilité de modifier notre couverture d'assurance.

L'un des principaux avantages de l'utilisation de FAIR pour l'analyse des assurances est qu'elle vous donne une idée claire de votre impact financier potentiel en cas de compromis. Cela vous permet de prendre des décisions plus éclairées concernant votre couverture d'assurance. Idéalement, vous devez vous assurer d'être couvert pour les pires scénarios afin d'optimiser le coût de vos primes.

‍

Comment considérez-vous l'importance de l'analyse quantitative des risques dans la communication avec la haute direction et le conseil d'administration ?

Markus : Lorsque vous faites une présentation au conseil d'administration, il est important de présenter des chiffres qui ont du sens d'un point de vue commercial. Dire simplement que nous avons « 10 % de risque élevé et 60 % de risque moyen » n'a pas de sens, et ils se désintéresseront rapidement. Vous voulez plutôt communiquer en termes de dollars à risque et de probabilité d'effets indésirables.

Je présente généralement les données en premier, en utilisant des éléments visuels tels que des tableaux ou des graphiques pour étayer et attirer l'attention sur des domaines particuliers. Chez Funko, j'ai créé une roue divisée en quadrants, chacun représentant un scénario de risque différent. L'essentiel est de toujours vous appuyer sur des données, en utilisant des couleurs ou des éléments visuels pour vous concentrer sur certains domaines que vous souhaitez mettre en valeur.

‍