RSSI : dix conseils pour être dans un leadership efficace

Jusqu’ici, les RSSI se folicalisaient à empêcher les acteurs malveillants d’entrer dans les systèmes informatiques des entreprises et à maintenir ces systèmes fonctionnels. Le rôle du DSSI évoluant rapidement, ceux-ci doivent désormais développer des compétences personnelles pour communiquer leur stratégie à tous les niveaux de l’entreprise et traduire les risques dans un langage accessible à tous. Dans ce blog, la RSSI d’Orange Cyberdefense pour les Pays-Bas,Tamara Hendriksen donne dix conseils que les RSSI modernes peuvent appliquer pour combler le fossé entre compétences techniques et compétences générales afin de mieux atténuer les risques auxquels ils font face.

La réussite d’un RSSI exige plus que des connaissances techniques. Aujourd’hui, les RSSI sont considérés non seulement comme les responsables de la mise en œuvre de la sécurité, mais aussi comme des facilitateurs. Ils sont les ambassadeurs des initiatives de sécurité dans l’ensemble de l’entreprise. Par conséquent, ils doivent développer des compétences humaines telles que la communication, l’empathie et la direction d’équipe. On attend effectivement des RSSI qu’ils comprennent et atténuent les risques, mais également qu’ils transmettent à l’ensemble des collaborateurs au sein de l’entreprise des informations digestes et faciles à comprendre.

Pour qu’un RSSI obtienne l’adhésion de la direction à sa feuille de route en matière de sécurité, il doit établir cette feuille de route en fonction des activités de l’entreprise, en veillant à ce qu’elle soit suffisamment souple et flexible pour s’adapter aux évolutions du marché. Un RSSI doit donc comprendre la structure de l’entreprise dans laquelle il travaille et la façon dont les différents départements de cette entreprise s’articulent.

Pour réussir, un RSSI doit comprendre le fonctionnement du conseil d’administration, d’autant plus s’il ne siège pas dans ce conseil. Une relation constructive avec le conseil d’administration peut, par exemple, améliorer la capacité du RSSI à influencer les prises de décisions et à gérer efficacement les risques liés à la sécurité de l’information. Un processus de rapport au conseil d’administration doit être mis en place afin que le RSSI puisse apporter une valeur ajoutée à toute prise de décision. Enfin, il est primordial pour tout RSSI de quantifier les risques de sécurité en termes d’impact sur l’entreprise.

Comme de nombreux RSSI travaillent avec une petite équipe, le temps est souvent une contrainte prépondérante. Un manque de budget, de compétences, ou encore un conseil d’administration qui n’appréhende pas bien les risques liés à la sécurité de l’information et à la protection de la vie privée peuvent être des sources de pertes de temps résultant à la fois du manque de ressources et de rapports. Il faut bien sûr que les RSSI consacrent du temps aux aspects techniques du poste, mais il est essentiel qu’ils se concentrent également sur la stratégie et la compréhension des objectifs de l’entreprise en interagissant avec les principales parties prenantes. Progresser sur tous ces points prend du temps, mais un bon RSSI ne doit pas se décourager pour autant.

De nouveaux logiciels et applications de cybersécurité sont introduits chaque jour. Les menaces devenant de plus en plus sophistiquées et difficiles à contrer, les RSSI doivent adopter une approche stratégique de la sécurité pour protéger leur entreprise. L’évolution des marchés modifie inévitablement les processus et les technologies des entreprises. Les RSSI ont besoin d’une visibilité claire et d’une vision holistique des activités principales de l’entreprise, car ils doivent développer une connaissance stratégique des meilleurs outils existants pour protéger ces activités. L’important en tant que RSSI est donc de continuer à apprendre.[CM1] 

Aujourd’hui, les directeurs généraux des entreprises doivent savoir précisément pourquoi ils donnent la priorité à certains actifs plutôt qu’à d’autres. Où se trouvent les actifs les plus critiques, où sont les connexions avec le monde extérieur et où se situent les points faibles ? La réalisation d’évaluations régulières des risques et de l’impact sur les activités peut contribuer à l’acquisition de connaissances pertinentes à cet égard[CM2] . Les RSSI doivent être en mesure de fournir ces informations aux directeurs généraux dans un format digeste. Tout RSSI doit par ailleurs savoir immédiatement où se trouvent quelles données, quels types de données sont protégés et à quels endroits une protection accrue peut être nécessaire.

Les outils techniques sont essentiels au rôle de RSSI et permettent de mieux comprendre les vulnérabilités et les problèmes. Les RSSI ne doivent toutefois pas se fier aux indicateurs techniques uniquement, car ceux-ci peuvent créer un faux sentiment de sécurité. Les entreprises peuvent rester très vulnérables aux menaces internes ou à l’erreur humaine par le biais d’e-mails d’hameçonnage, par exemple.

Modifier les comportements des utilisateurs en les sensibilisant aux cyber-risques est crucial, d’autant plus que les collaborateurs au sein d’une entreprise accèdent de plus en plus souvent à des contenus et à des applications à distance. Pour que les messages dans ce but aient une véritable portée et que les modifications des comportements nécessaires deviennent une seconde nature, tout RSSI avisé adoptera une approche interactive et personnalisée.

Les RSSI doivent s’adapter au fait que des volumes croissants de données sont stockés en dehors de l’écosystème de l’entreprise. Les appareils connectés sont de plus en plus nombreux et les collaborateurs utilisent ces appareils et le cloud pour stocker et traiter les données de travail. Les RSSI doivent donc continuellement repenser la sécurité mobile et s’assurer que tous les collaborateurs travaillent dans le respect des meilleures pratiques.

Les RSSI doivent garder une longueur d’avance sur les réglementations internationales. En raison de l’évolution des exigences, les entreprises peuvent être amenées à renforcer la protection de leurs systèmes dans le but de garantir la confidentialité et la disponibilité des données dans certaines régions, par exemple. Les sanctions pour non-conformité étant susceptibles de devenir beaucoup plus sévères, les conseils d’administration vont désormais attendre des RSSI qu’ils élaborent des stratégies pour atteindre les objectifs de conformité.

Les entreprises sont de plus en plus souvent confrontées à des amendes et à des poursuites judiciaires en raison de failles de sécurité ou de situations de non-conformité. Les conseils d’administration doivent comprendre à quel point ces failles de sécurité sont préjudiciables au vu des conséquences juridiques qu’elles peuvent avoir sur le processus commercial et quelle influence la mise en conformité de l’entreprise peut avoir sur l’éventualité de telles failles.

En fin de compte, les dirigeants doivent savoir appréhender les cyber-risques pour prendre les décisions les plus intelligentes et profitables à leur entreprise. Bien sûr, il ne s’agit pas pour les dirigeants d’entreprise d’engager des dépenses de sécurité juste pour le plaisir, mais d’avoir l’assurance qu’une protection suffisante est en place pour atténuer les risques autant que possible, leur principale préoccupation étant de savoir comment ces risques s’évaluent en termes commerciaux.

Pour en savoir plus et prendre une longueur d’avance, téléchargez le guide complet du RSSI efficace et reconnu au sein de son entreprise.

Télécharger le guide du RSSI (version anglaise)