Les RSSI doivent initier le dialogue avec leur direction

Si le RSSI se doit d’être un bon « expert en cybersécurité », il doit aussi savoir sortir de son bureau pour engager la discussion avec les dirigeants, même si cela implique très souvent d’avancer à pas de velours.

Pourquoi parler  cybersécurité avec le top management ? 

Disons les choses comme elles sont : sans le soutien et la confiance de sa direction, un RSSI ne peut pas travailler, ou du moins pas faire grand-chose !

Même si la situation évolue, les dirigeants peinent encore à comprendre les enjeux de la cybersécurité et ce en quoi elle consiste. L’étude MIPS du CLUSIF précitée comporte sur ce point deux statistiques révélatrices :

  • 56% des budgets alloués à la sécurité de l’information sont entièrement remis en cause chaque année, seuls 8% des budgets étant sanctuarisés
  • 40% des budgets alloués à la sécurité concernent la mise en place de solutions dans l’entreprise, ce qui illustre le fait que le top management perçoive la cybersécurité principalement comme de l’outillage.

Pour mener à bien sa mission et décrocher les budgets nécessaires, le RSSI n’a donc pas le choix : il lui faut alerter sans braquer, éduquer sans agacer, proposer sans exiger… en bref, séduire les décideurs !

Voilà une ambition qui demande patience et constance, et qui débute souvent par un travail d’observation et d’enquête.

Préparer le terrain, construire le discours

De nombreux RSSI se trouvent, de fait, bien loin des organes décisionnaires. Pour être écoutés (et entendus), ils peuvent cependant se montrer pro-actifs, qu’il s’agisse de démarches ponctuelles ou d’actions quotidiennes à mener sur le long terme. En voici quelques illustrations.

  • Demande de rendez-vous : les dirigeants manquent de temps, mais restent malgré tout disposés aux rencontres à des moments-clés (par exemple, quelques mois après la prise de poste de RSSI ou une à deux fois par an pour évoquer les sujets stratégiques). Aux RSSI de tenter leur chance et de solliciter une rencontre quand cela leur semble pertinent !
  • Enquête de terrain et liens créés avec d’autres interlocuteurs : les RSSI qui rencontrent des difficultés à accéder aux dirigeants ont tout intérêt à observer leur environnement et à le cartographier. Qui fait quoi ? Qui connaît qui ? Qui dispose d’une certaine influence ? Tisser des liens avec les bonnes personnes, c’est se ménager la possibilité de remonter doucement mais sûrement jusqu’à la direction !
  • Questionnaires : L’envoi d’un questionnaire avant une présentation constitue un bon moyen pour le RSSI d’être renseigné sur ce qui intéresse particulièrement la direction, mais aussi sur son niveau de maturité. C’est aussi une façon d’en apprendre davantage sur le profil des dirigeants : les « dadas » de chacun, leurs préférences en termes de présentation, leurs traits de caractère…autant d’éléments qui permettront au RSSI de s’adapter aux attentes et de gagner des points.

Quels que soient les moyens utilisés, les RSSI ont tout à gagner à « partir à la pêche aux informations », en s’intéressant aussi bien aux spécificités business qu’au profil psychologique des dirigeants. Ce recueil de matière constitue en effet une étape indispensable pour la construction d’un discours efficace et engageant.

Comment impliquer la direction sur le sujet de la cybersécurité ?

Les dirigeants ne sont pas des interlocuteurs comme les autres. Ils manquent de temps, assument de lourdes responsabilités et cherchent avant tout à être aidés dans la prise de décision. Cela oblige le RSSI à se positionner comme un facilitateur, en adaptant son approche et ses présentations.

Le bon degré d’information

Les dirigeants ne veulent ni tout savoir, ni tout comprendre.  En réalité, ils ne s’intéressent qu’aux seuls éléments les aidant à décider en connaissance de cause. Pour cette raison, le RSSI doit communiquer uniquement sur les informations essentielles.

Comme le rappelle justement le CIGREF, dans sa publication d’octobre 2018 « Visualiser, comprendre, décider », le tableau de bord présenté au COMEX et au conseil d’administration doit avant tout être adapté aux caractéristiques de l’entité concernée, avec un principe simple : « permettre aux dirigeants de prendre les bonnes décisions pour couvrir le risque cyber ». Si le rapport propose une trame détaillée des informations à fournir, voici les éléments sur lesquels communiquer prioritairement :

  • Les menaces existantes : ce en quoi elles consistent (arnaque au président, phishing, négligences de la part des salariés…), les raisons pour lesquelles elles sont susceptibles de porter atteinte de manière significative à l’activité et en quoi elles concernent particulièrement l’entreprise
  • Les risques que représentent concrètement ces menaces pour l’activité
  • Le niveau d’investissement à réaliser pour couvrir ces risques
  • Les derniers incidents subis par l’entreprise (ce dont il s’agissait, comment les équipes ont réagi, le tout en adoptant une approche pédagogique)

Et pour les indicateurs ? Inutile d’en présenter des dizaines, l’idéal étant de sélectionner ceux qui aideront la direction à repérer le degré d’exposition aux risques et à évaluer la pertinence des mesures proposées.

Le bon langage

Les membres du top management ne sont pas des spécialistes de la cybersécurité, et il n’est pas rare de constater de grandes disparités dans la connaissance et la compréhension qu’ils ont du sujet.

Là-encore, l’adaptation du RSSI est de mise ! Rien ne sert d’évoquer des précisions techniques, qui ne sont pas « parlantes » pour un dirigeant. Mieux vaut s’aventurer sur son terrain de jeu, en construisant un discours autour des notions telles que la pérennité de l’entreprise, la continuité de l’activité, la protection de la R&D ou encore de l’image de marque.

Enfin, et même s’il s’avère préférable de laisser les discours techniques au placard, chaque RSSI a un rôle de formateur à jouer, en faisant régulièrement l’effort d’expliquer le sens des termes qu’il utilise, ou en recourant à des analogies pour favoriser la compréhension.

A ce titre, le livre blanc « La cybersécurité à l’usage des dirigeants », co-réalisé par l’OSSIR et le CLUSIF, constitue une source d’inspiration intéressante. Les RSSI y trouveront en effet des idées d’angle pour rendre leur discours concret (les risques liés aux mails, aux portables, à la navigation sur le web…), mais aussi un glossaire pour proposer des définitions simples et compréhensibles.

La bonne approche

Il n’y en a qu’une : rattacher au maximum le discours sur la cybersécurité à des éléments concrets, c’est-à-dire à des faits et à des chiffres ! Le RSSI doit ainsi « projeter » la direction dans un scénario plausible, dans lequel il présente :

  • les faits qui pourraient survenir en cas d’incident (l’impossibilité d’utiliser les 612 postes de travail pendant au moins 48 h, la fermeture d’une usine pendant 5 jour etc.)
  • les conséquences prévisibles, comme la perte de chiffre d’affaires, des contentieux avec les clients, l’atteinte à l’image de la marque…
  • le degré de gravité de ces conséquences (faible, moyenne, importante)
  • le budget à prévoir pour limiter au maximum la réalisation du risque

Le RSSI peut d’ailleurs aller jusqu’à pratiquer une forme de storytelling, en citant l’exemple d’une entreprise ayant dû faire face à la situation décrite (en choisissant de préférence un exemple auquel la direction pourra s’identifier, soit parce que l’organisation est locale, ou dans un secteur d’activité proche). Frissons garantis auprès du top management, avec à la clé une propension plus importante à suivre les préconisations du RSSI !

Le bon rythme

Très souvent, les dirigeants enchaînent les réunions, et finissent lassés par la succession des présentations. Pour « réveiller » et marquer les esprits, les RSSI gagnent donc à innover, en misant sur des présentations dynamiques et efficaces.

Pour cela, rien de tel que des tableaux de bord clairs et synthétiques, comportant des représentations visuelles permettant d’illustrer le discours.

Il existe en outre de nombreuses techniques d’animation auxquels recourir. Pour ne citer qu’un exemple, tout RSSI devrait tenter au moins une fois de sonder son auditoire avant de présenter l’état de la sécurité, avec une question toute simple comme « Pensez-vous que l’entreprise est correctement protégée ? ».

C’est une façon efficace de capter l’attention, de surprendre, mais aussi de déclencher une prise de conscience en cas de décalage entre les réponses apportées et la réalité.

Le bon outil

Le premier outil conçu par des RSSI pour aider les RSSI dans leur organisation. Plateforme Saas, adaptable et collaborative, notre solution de pilotage de la cybersécurité permet à chaque RSSI de :

  • gagner du temps sur les tâches sans valeur et chronophages
  • retrouver de la visibilité, en pouvant mettre au point et suivre des tableaux de bord de façon efficace et complète
  • s’assurer de l’alignement des actions avec les objectifs
  • Ce que cela signifie pour les relations entre le département cybersécurité le top management ?

En permettant une vue à 360° sur la cybersécurité et grâce à ses nombreuses fonctionnalités dédiées au pilotage de la cybersécurité, Tenacy permet au RSSI de présenter à sa direction les points-clés de son activité. Notre solution lui permet aussi de retrouver du temps de qualité et d’offrir à l’entreprise tout ce qui fait sa valeur ajoutée.

Contactez-nous