Pourquoi le temps est un casse-tête pour les RSSI
Le RSSI n’est pas un super-héros (quoique… on en parle ici), donc pour tenter de résoudre un problème, il faut bien en identifier la cause. Alors dans ce défi « RSSI et course contre le temps », quelles sont les raisons pouvant expliquer que le RSSI ait toujours ce sentiment désagréable de ne « jamais en faire assez » ?
Un temps de travail éclaté entre plusieurs missions
Les risques cyber concernant tous les pans de l’activité et tous les niveaux de l’organisation, le RSSI intervient de façon transverse, ce qui explique la répartition de son temps de travail de la façon suivante (chiffres issus de l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF) :
- Aspects techniques (architecture de sécurité, suivi de projet etc.) : 29%
- Aspects fonctionnels (analyse de risques, politique de sécurité…) : 25%
- Aspects opérationnels (gestion des droits, administration…) : 21%
- Communication/sensibilisation : 14%
- Aspects juridiques (recherche de preuves, charte utilisateurs…) : 11%
En soi, cette répartition pourrait ne pas être problématique, si le RSSI n’avait pas à composer avec un déficit d’intégration de sa fonction au sein des process de l’entreprise et un manque d’outils adapté et dédié pour s’organiser ! (teaser : cf prochain article qui parle tableaux de bord et de l’incontournable Excel auprès des RSSI…)
Cybersécurité et culture d’entreprise
Le caractère transverse de ses fonctions place le RSSI dans une grande situation de dépendance, à la fois vis-à-vis du top management, qui alloue le budget cybersécurité, mais aussi des équipes, qui ont un rôle à jouer dans l’application des règles de sécurité et dans la remontée d’informations.
Or, nombreux sont les RSSI qui peinent à animer et fédérer leur communauté et perdent du temps sur des tâches sans valeur ajoutée, par exemple en relançant les équipes qui tardent à remplir un tableau de bord ou en corrigeant des incidents qui auraient pu être évités s’ils avaient été sollicités en amont.
Le manque d’outils pour piloter la cybersécurité
Le RSSI n’est pas le seul à vouloir gagner sa course après le temps. Aujourd’hui, tous les métiers disposent d’outils de pilotage pour avoir une vue à 360° sur leur activité. La fonction commerciale dispose ainsi d’un CRM (logiciel de gestion de la relation client), tandis que la finance dispose des données en temps réel grâce à un ERP.
Le RSSI, quant à lui, dispose d’un certain nombre d’outils, qu’il s’agisse des solutions les plus courantes (antivirus et antimalware, antispam, firewall…), d’outils plus spécifiques (sondes IDS, SIEM, Network Access Control) ou de consoles de programmation et de maintenance.
Mais, parmi ces aides techniques, aucune ne se rapporte au pilotage, ce qui explique que le RSSI doive encore consacrer beaucoup de temps :
- d’une part, à la création de ses propres outils de management lors de sa prise de poste
- d’autre part, à leur mise à jour régulière, avec l’ajustement des fonctionnalités
En pratique, le RSSI consacre donc une très grande partie de son activité à la création et l’adaptation de tableaux de bord sous Excel, sans compter les quelques jours à prévoir mensuellement pour agréger la donnée de façon à pouvoir la présenter au top management.
Quelles solutions pour redonner du temps au RSSI ?
Pour que le RSSI gagne sa course après le temps, il faut avant tout miser sur l’optimisation et la rationalisation de ses actions.
Les bonnes pratiques à adopter
Au quotidien, chaque RSSI peut tenter de limiter au maximum les tâches chronophages et rébarbatives, en industrialisant ce qui peut l’être, et en exploitant au maximum les possibilités de collaborer efficacement avec toutes les parties prenantes.
Voici trois pistes pouvant utilement être explorées :
- La création de templates
Quels sont les tableaux utilisés le plus souvent ? Quelle présentation fonctionne le mieux auprès du COMEX ? A quel type de questionnaire les équipes répondent-elles le plus rapidement ? Pour éviter de « réinventer la roue » pour chaque présentation ou chaque collecte de données, le plus simple pour le RSSI consiste à se constituer une bibliothèque de « modèles » (tableaux Excel, présentations PowerPoint) qui lui serviront de trames de façon récurrente.
- Les méthodes Agile pour la gestion des équipes
Faire avancer les projets, lever les difficultés rencontrées par les équipes, relancer les collaborateurs…tout cela prend du temps, mais en prend encore davantage lorsqu’il n’y a pas de suivi et de dynamique. Pour l’animation de leur communauté, les RSSI peuvent donc recourir à des formats de réunion à la fois réguliers, courts, et très structurés.
Celles-ci peuvent prendre plusieurs formes, comme le weekly (format d’1 h maximum), ou le daily (format de quelques minutes, et le plus souvent en étant debout). Dans les deux cas, l’objectif reste le même : balayer ce qui a été fait et ce qui reste à faire, en levant les obstacles à la réalisation des objectifs.
- Les outils autres que ceux dédiés à la cybersécurité
Il existe aujourd’hui de nombreux outils, qui, sans concerner spécifiquement le RSSI, peuvent lui être utiles. A chaque RSSI de trouver ce qui lui convient le mieux, parmi la palette d’outils collaboratifs et de gestion de projets existants. A titre d’exemples, Trello constitue une solution intéressante pour suivre les actions courantes et les projets, en mettant en place des notifications et des alertes. Des outils comme Slack ou Teams peuvent quant à eux faciliter la collaboration avec toutes les parties prenantes sur un projet.