Si toute entreprise est dotée d’une hiérarchie, avec au sein de la direction, un PDG accompagné de son directeur financier, chargé de clientèle et le directeur des systèmes d’information, la fonction du RSSI est relativement récente dans la sphère administrative des entreprises. Il y a un peu plus de cinq ans, 74 % des cadres dirigeants pensaient que le RSSI ne méritait pas d’être inclus dans les prises de décisions, et plus de 60 % estimaient que le RSSI échouerait dans tout rôle dès lors que son périmètre d’intervention ne se limiterait pas strictement aux problématiques de sécurité.

Suite à la sollicitation grandissante du RSSI dans un contexte de résurgence des cyberattaques des entreprises, ces opinions prennent un tout autre tournant. Un rapport souligne que 68 % des cadres supérieurs sont de plus en plus conscients que la sécurité est un enjeu majeur, et 77 % estiment que le RSSI a parallèlement amélioré son influence sur l’entreprise.

Cependant, cette prise de conscience accrue ne permet pas toujours de rendre grâce à l’implication du RSSI. Son rôle, et plus généralement celui de la cybersécurité, sont beaucoup trop souvent négligés. Les équipes se sécurité sont d’ailleurs attendues au tournant par le conseil d’administration après une brèche très médiatisée, mais rarement à la suite de l’adoption de bonnes pratiques de sécurité.

La pandémie actuelle de coronavirus en est un parfait exemple. Dans ce contexte de télétravail généralisé, les entreprises doivent s’adapter rapidement et le rôle du RSSI est d’identifier les obstacles, de combler les lacunes et de garantir une transition sûre vers de nouvelles organisations de travail à distance afin de limiter la surface et les impacts des attaques.

Valoriser le rôle du RSSI ne remet guère en cause la structure hiérarchique et administrative d’une entreprise. Sur les 62 % d’entreprises du classement Fortune 500 qui possèdent un RSSI, seulement 4 % d’entre elles le mentionnent sur leur page de direction. Ce manque d’influence se reflète également en interne, puisque plus de 50 % des RSSI admettent avoir des relations sous tension avec les autres départements, y compris celui des finances.

Bien souvent on constate un décalage entre la prise de conscience de l’importance du rôle du RSSI, et la faculté du conseil d’administration à prendre note de l’autorité et de l’influence positive qu’il peut apporter à l’ensemble de l’entreprise. Comment l’expliquer ? Si un manque de communication efficace de la part des professionnels de la sécurité avec leurs dirigeants en est la principale raison, il s’agit surtout pour les RSSI de pouvoir combler ce fossé. Adopter les codes et langages du top management afin de devenir des membres du conseil d’administration tout en veillant à incarner la figure de technologues est une piste à explorer.

Intégrer le conseil d’administration

Plusieurs facteurs perturbent la reconnaissance généralisée du RSSI. Tout d’abord, force est de constater que le conseil d’administration ne maitrise pas toujours le langage et les thématiques liées aux risques. Les dirigeants ont l’habitude qu’on leur présente et qu’on leur explique les risques financiers mais tel n’est pas le cas lorsqu’il s’agit d’expliquer les cyber-risques. C’est pourquoi le conseil d’administration n’est pas toujours en mesure d’apprécier les mesures que propose le responsable sécurité.

Le niveau de maitrise du conseil d’administration est encore moindre en matière de cybersécurité. Très peu de personne en dehors de la sphère du RSSI connaissent voire maitrisent les bases, sans parler des menaces en constante évolution et des connaissances détaillées requises pour défendre une organisation moderne. Les éléments mesurables du département sécurité sont également moins tangibles que ceux d’autres fonctions commerciales. La protection d’une organisation n’est pas une science exacte, il n’est donc pas toujours possible d’offrir des réponses rassurantes et précises, car la situation peut changer du jour au lendemain dès lors qu’une nouvelle vulnérabilité émerge et qu’elle remet en cause l’ensemble de la surface d’attaque.

Comme peu de membres du conseil d’administration sont expérimentés en matière de cybersécurité, il peut arriver qu’ils minimisent l’importance et la complexité des solutions apportées par le RSSI.

C’est pourquoi finalement il est crucial pour le RSSI d’expliquer et de traduire les réponses apportées avec des termes simples. Une communication adaptée est vraisemblablement la clé pour surmonter ces difficultés.

Il est important pour la direction de s’assurer que les mécanismes de contrôle fonctionnent efficacement, que l’entreprise est suffisamment équipée pour gérer toute cybermenace.  C’est pourquoi les dirigeants doivent savoir comment les ressources allouées à la sécurité contribueront à la direction stratégique et au bon fonctionnement de l’entreprise. C’est en revanche au RSSI qu’il incombe de trouver tous les leviers pour rassurer la direction en diluant les informations importantes dans un langage clair et concis.

Développer une culture de la sécurité inclusive et descendante

La cybersécurité gagnerait à remonter dans la liste des priorités du conseil d’administration, et ne devrait pas être réduite à une session de 15 minutes chaque trimestre.  Elle doit s’imposer comme une composante essentielle de chaque décision commerciale, au point que le RSSI siège aux côtés du PDG, du directeur de l’exploitation et du directeur des systèmes d’information dans la prise de décisions.

La perception que l’on a en interne du RSSI doit permettre de changer celle que l’on a de la cybersécurité de manière plus générale ne réduisant pas le rôle du RSSI strictement à des fonctions de sécurité mais en le positionnant comme un conseiller essentiel à l’entreprise. Le RSSI n’a pas pour unique responsabilité d’éteindre les incendies. Les RSSI font partie intégrante de la sécurité et du bon fonctionnement des organisations. C’est pourquoi l’objectif ultime du RSSI consiste à susciter cette prise de conscience afin d’instiller une véritable culture de la cybersécurité à l’échelle globale de l’organisation. Plus le niveau de sensibilisation est élevé, plus l’autorité du RSSI sera reconnue par l’ensemble des collaborateurs.

Seul un changement radical des mentalités pourra permettre de parvenir à cet objectif ultime, et ce changement peut passer par la création d’une culture de la sécurité. Le langage de la cybersécurité doit être assimilé à tous les niveaux des organisations de sorte que chaque membre soit en mesure d’intégrer les types de menaces auxquelles ils sont exposés et les efforts nécessaires mis en œuvre pour les prévenir. Les efforts du RSSI ne doivent pas se concentrer sur des conversations trop techniques mais ils doivent plutôt veiller à démontrer leur valeur ajoutée vis-à-vis de l’entreprise ainsi que la valeur de l’entreprise qu’ils protègent en continu. Le RSSI doit veiller à placer l’évaluation du risque au cœur de ses discussions : le risque auquel l’entreprise, ses données, sa propriété intellectuelle et sa réputation sont exposées sans oublier le risque de l’échec de sa stratégie cyberdéfense.

Les RSSI devraient en réalité être perçus comme leurs semblables par le conseil d’administration et non plus comme un technologue uniquement. Il est crucial de connaître les moteurs des revenus à long terme et de rester sensible aux défis stratégiques de croissance de l’entreprise. C’est ainsi que le RSSI saura gagner la considération et la confiance du conseil d’administration, tout en ayant pour objectif ultime d’assurer le bon fonctionnement de l’entreprise.
___________________

Par Thierry Bedos, Vice-Président Europe du Sud, Proofpoint