Pourquoi le RSSI a vocation à supporter le business
Vous connaissez l’histoire des trois tailleurs de pierre interrogés sur leur travail ? Alors que tous effectuent la même tâche, chacun apporte une réponse différente. L’un déclare tailler une pierre, l’autre construire un mur, tandis que le troisième s’enthousiasme à l’idée de construire une cathédrale. Cette allégorie illustre à elle seule la latitude laissée aux RSSI dans la conception de leur mission, et l’importance pour eux de se poser une question essentielle…
Pourquoi faire de la sécurité ?
En 2010, Simon Sinek, un conférencier britannique auteur de nombreux ouvrages sur le management et la motivation, a animé un TED Talk qui est rapidement devenu l’un des plus visionnés au monde. Il y développe la théorie du « WHY », très connue dans l’univers du marketing comme du développement personnel.
Son idée ? Partir du principe qu’il ne faut pas raisonner à partir de ce qu’on fait (le « WHAT »), mais de « pourquoi » on le fait. Deux raisons à cela :
- savoir pourquoi on agit permet de donner du sens à ses actions, et donc d’avoir une source de motivation personnelle ;
- c’est aussi un puissant levier pour communiquer et « embarquer » ses interlocuteurs, parce que (comme Simon Sinek le dit) « les gens n’achètent pas ce que vous faites, ils achètent la raison pour laquelle vous le faites ».
En matière de cybersécurité, les RSSI ont donc un travail de qualification de leur métier à effectuer. Fait-on de la sécurité pour :
- identifier des menaces,
- mettre en place des outils,
- ou encore seulement pour protéger l’entreprise ?
La réponse est non ! Voyons les choses sous l’angle du bâtisseur de cathédrale, et considérons plutôt que le RSSI n’est pas « celui qui limite la casse ». Il est plutôt celui qui soutient le business, à la fois en le protégeant, mais aussi en l’aidant à se développer dans un cadre sécurisé.
Le business comme clé d’entrée pour le RSSI
Que veut dire supporter le business dans le quotidien d’un RSSI ? De façon non-exhaustive, cette vocation peut et doit prendre forme de plusieurs façons.
- « Penser » business
Impossible de prétendre soutenir une activité sans la connaître et la comprendre parfaitement ! Les RSSI doivent donc s’emparer du sujet en cherchant des réponses à un certain nombre de questions dès leur prise de poste.
À titre d’exemples : quel est le business model ? Où l’entreprise génère-t-elle de la marge ? Où en perd-elle ? Quels sont les risques les plus importants pour le business ?
- « Parler » business
Le RSSI est souvent le seul dans l’organisation à comprendre les enjeux de cybersécurité, et à avoir une vision claire des actions à mettre en œuvre pour protéger l’activité et la compétitivité face aux menaces. Il doit donc se faire comprendre pour être suivi par les décideurs ! Quel que soit le secteur d’activité, chaque RSSI a donc tout intérêt à adopter un « langage business ». Autrement dit, à ne plus parler « menaces cyber », mais plutôt « risques pour le business ».
- Couvrir les risques de façon appropriée
Qu’on se le dise : non, toute l’activité d’une organisation n’a pas besoin d’être protégée au degré maximal ! L’approche du RSSI doit prendre en compte non seulement le risque, mais aussi les contraintes propres au business (matérielles comme financières). Ni trop, ni trop peu… tel est le bon dosage pour permettre à l’entreprise de se développer dans un cadre sécurisé, avec une contrainte qui se limite au strict nécessaire.
- Diffuser une culture de la sécurité dans l’entreprise
Il est bien illusoire de penser que la sécurité de l’entreprise puisse reposer sur les seules épaules du RSSI. Shadow IT, négligences du quotidien, mots de passe trop simples… tous les collaborateurs peuvent avoir des comportements qui fragilisent l’entreprise et chacun a un rôle à jouer ! Supporter le business, cela veut donc dire être en capacité d’embarquer l’ensemble des parties prenantes dans cette démarche, via des actions de sensibilisation pertinentes et engageantes.
Comment un RSSI peut-il supporter le business au quotidien ?
Peu de RSSI ont été amenés, dans leur cursus, à suivre une formation en gestion des entreprises. Faut-il en déduire l’impossibilité pour bon nombre d’entre eux d’éclairer leurs dirigeants, faute de disposer des compétences nécessaires ? Heureusement non, car le job de RSSI, plus que jamais, repose bien plus sur un savoir-être que sur un savoir-faire.
Les soft skills indispensables pour être RSSI
Le métier de RSSI est complexe et transverse. Qu’en attendent les dirigeants ?
Une étude rendue publique en mai 2020 par Devoteam, et menée auprès d’environ 600 dirigeants d’entreprises européennes et moyen-orientales de plus de 500 collaborateurs permet d’apporter des éléments de réponse. Par exemple, les dirigeants interrogés considèrent qu’un RSSI doit coopérer avec les métiers pour qu’ils inscrivent leurs activités dans un cadre de risque accepté (47 % des réponses), mais aussi réduire la probabilité des menaces qui pèsent sur l’entreprise et ses actifs (45 % des réponses).
Le RSSI n’est donc pas attendu uniquement sur le terrain de la technique !
- Curiosité
Poser des questions, aller à la rencontre des services et des équipes, se renseigner sur des notions propres à l’activité… c’est en s’intéressant à son environnement et en pratiquant l’écoute active que le RSSI peut réellement adapter son approche et ses propositions au business.
- Communication et marketing
S’il y a bien une chose sur laquelle les RSI gagneraient à se former, c’est sur leur capacité à « vendre » leurs idées et leurs solutions ! Si les dirigeants se préoccupent de plus en plus de la cybersécurité, ce dont ils ont besoin, c’est avant tout de se sentir concernés et de comprendre facilement et rapidement le discours du RSSI. Celui-ci ne doit plus être technique, mais impactant, en recyclant les techniques les plus basiques du marketing : parler le même langage que son interlocuteur, accompagner plutôt qu’imposer, et ne pas hésiter à ajouter du storytelling dans ses présentations !
- Diplomatie et sens du consensus
Les responsables business veulent aller vite (time-to-market), quitte, parfois, à sacrifier la sécurité. Face à ce constat, le rôle du RSSI ne peut plus consister à s’opposer systématiquement et doit évoluer vers davantage de compromis, en adoptant une méthode des petits pas et en arbitrant en fonction du risque.
Faire évoluer le métier de RSSI en pratique
Connaissez-vous la méthode de l’échiquier ? Utilisée pour optimiser l’efficacité commerciale dans les ventes complexes, elle peut tout à fait être reprise par tout RSSI désireux de « tisser sa toile » et de voir les choses en grand !
Voici trois étapes sur lesquelles peut travailler le RSSI dès son arrivée dans une entreprise.
- Étape 1 : cartographier l’environnement, en menant un véritable travail d’enquête. Comment fonctionne l’organisation ? Qui fait quoi ? Cette connaissance fine de l’entreprise et de ses rouages permet d’identifier les leviers et les freins à prendre en compte dans les actions de cybersécurité.
- Étape 2 : créer du lien en exploitant toutes les occasions, de la visite régulière des bureaux aux discussions informelles devant la machine à café. Toutes ces interactions sont un excellent moyen pour identifier celles et ceux qui seront les « champions » de la sécurité dans l’entreprise, de façon à ce que le RSSI puisse disposer de « relais » à tous les niveaux de l’organisation.
- Étape 3 : entretenir son image de marque personnelle (personal branding). Rester en contact avec les early adopters et les remercier, faire preuve d’empathie vis-à-vis des collaborateurs les plus réticents au changement et les accompagner, savoir faire preuve de discrétion tout en faisant en sorte qu’on trouve votre travail remarquable… au quotidien, c’est toute une communauté que le RSSI doit fédérer. La qualité des relations qu’il noue et l’image qu’il renvoie sont donc essentielles !