RSSI : maximisez la collaboration avec votre direction générale
Face aux enjeux de la cybersécurité, la position du dirigeant est fondamentale : le soutien fourni par la direction générale à sa direction sécurité a une incidence sur la protection des organisations contre les cyber menaces. Or seuls 30% des RSSI (Responsables de la sécurité et systèmes d’information) déclarent recevoir un appui suffisant de leur dirigeant (Global Digital Trust Insights Survey 2022, PwC).
RSSI, comment maximiser votre collaboration avec votre direction ?
Une entreprise dont le dirigeant soutient les initiatives cyber est une entreprise mieux protégée
Lorsque les RSSI déclarent avoir progressé depuis 2 ans sur les questions de cybersécurité, il est 12 fois plus probable que ces derniers aient reçu un soutien significatif de leur direction (Global Digital Trust Insights Survey 2022, PwC).
Le dirigeant peut soutenir les initiatives de cybersécurité de trois manières :
- En réalisant une déclaration explicite qui établit un impératif de sécurité et de confidentialité à l'échelle de l'entreprise.
- En donnant à la fonction SI les moyens de mener à bien la mission de cybersécurité, en exprimant son soutien mais aussi en fournissant des ressources pour la mise en place de processus sécurisés par défaut et dès la conception (Security by design).
- En rendant possible la transformation des modèles commerciaux et/ou opérationnels de l'entreprise pour tendre vers une “sécurité simple”, la complexité étant l’ennemi de la cybersécurité.
Comment parvenir à cet engagement, générer l’adhésion et obtenir le soutien de la direction générale ?
Gérer l'existant et anticiper l'avenir, le défi des RSSI
Face aux menaces croissantes et toujours plus complexes, la mission de la direction Cybersécurité et Sécurité des systèmes d’information est double : il s’agit d’élaborer une stratégie pour l'avenir tout en continuant d’éteindre les incendies existants. L'objectif est de maîtriser les fondamentaux de la gouvernance digitale et de la gestion des risques pour la défense au quotidien, et d'anticiper les nouvelles menaces afin que l'entreprise puisse avancer sereinement vers de nouvelles initiatives numériques.
Aussi, l’équipe dirigeante veut généralement savoir comment vous évaluez les risques inhérents à l’organisation. Votre rôle est alors de leur expliquer clairement l'évolution des risques auxquels s’expose l’entreprise et susciter la confiance dans la résilience de cette dernière. Pour ce faire, considérez la sécurité comme le lubrifiant du moteur — elle doit être positionnée là où se situent les points de friction de l’entreprise. À quel niveau doit se placer la sécurité et les investissements inhérents pour devenir un accélérateur de business ? La définition du « bien » en matière de sécurité n'est pas figée. Votre rôle est de définir ce qui est bon à l’échelle de votre entreprise, et d’inscrire les actions de sécurité à l’agenda plus macro de la direction générale.
La sensibilisation : l'objectif n°1 du RSSI vis à vis de sa direction
En sensibilisant les dirigeants aux cybermenaces, le RSSI joue un rôle essentiel dans la prise de conscience du lien très fort qui existe entre menaces de sécurité et leur impact potentiel sur l'entreprise. En tant que RSSI, il est primordial que vous preniez le temps d’expliciter les pratiques et les process de sécurité à de votre direction générale. Ce faisant, vous facilitez leur compréhension, mais aussi et surtout, mettez en lumière la manière dont ces processus soutiennent la stratégie commerciale au sens large.
Les entreprises sont confrontées sans cesse à de nouveaux types de menaces, ce qui génère inquiétude et anxiété. L’objectif est donc d’aider la direction générale à comprendre suffisamment l’enjeu pour sentir que la menace est bien réelle mais qu’elle peut pour autant être gérée. Pour faciliter la compréhension d’un message, il convient de parler le même langage. Or, lorsqu’un sujet nous paraît abstrait ou trop complexe, la réaction naturelle est d’éviter de s’y confronter. La clé est alors de sortir la conversation du langage technologique pour le rendre intelligible pour des non-initiés. En adoptant le langage du dirigeant, le RSSI facilite sa compréhension mais lui permet également de se sentir responsabilisé par rapport aux risques portés par son organisation.
Les trois sujets à aborder avec sa direction générale
En dehors des problématiques urgentes, voici les trois sujets que vous devriez aborder lors de vos réunions avec votre dirigeant et ce, de façon systématique :
-
Évaluer les menaces existantes. Quelle est leur nature ? Quelles sont les motivations des attaquants, et de quelle façon cela pourrait-il se retranscrire en menaces pour l’entreprise ?
- Donner des détails sur les risques inhérents à l'organisation et préciser la manière dont les ressources sont actuellement utilisées pour faire face à ces risques. Les dépenses correspondent-elles aux attentes en matière de sécurité ?
- Démontrer les résultats mesurables des initiatives de sécurité. Comment l'organisation a-t-elle amélioré sa posture en matière de sécurité ? Faire un focus sur les progrès réalisés au regard des principaux indicateurs de risque, évaluer ces améliorations à l’aune d’une échelle de maturité cyber. L'équipe est-elle sur la bonne voie pour mener à bien les initiatives qu'elle avait prévu d'accomplir ?
Lorsque vous discutez de solutions potentielles avec votre direction, ne lui présentez pas une seule option mais évoquez plutôt la façon dont divers scénarios pourraient se dérouler. Comment les outils dont nous disposons et la stratégie que nous déployons actuellement nous aident-ils à prédire plus précisément les différents scénarios envisagés ? Concentrez-vous sur les investissements qui présentent les intérêts les plus transversaux pour l’entreprise et dont on peut espérer des résultats positifs et veillez à mesurer leurs effets dans le temps. L’entreprise gagne-t-elle en efficacité, est-elle mieux protégée grâce aux investissements réalisés ?
En synthèse
Le succès d’une bonne collaboration avec votre direction vient donc souvent de la façon dont vous suscitez son engagement, lui donnant le sentiment qu'il ou elle retire quelque chose de ses échanges avec vous. N’attendez pas de vos dirigeants qu’ils aient des connaissances en sécurité, apportez les leurs. Ceci vaut également pour les autres parties prenantes de l’entreprise, rendez le message intelligible et pertinent en adaptant le contenu à la cible.
Nos conseils : favorisez le storytelling, évitez le jargon, soyez impactant.
Et si vous inversiez les rôles le temps d'une session de serious game et mettiez votre direction en condition réelle de crise cyber ? Un moyen simple et innovant de la sensibiliser.