Syda Productions - stock.adobe.com

Comment pérenniser la collaboration entre le RSSI et le conseil d’administration

Une part croissante de RSSI rendent désormais compte à leur conseil d’administration. Cette proximité traduit la prise de conscience de l’impératif d’un alignement de la cybersécurité sur les besoins de l’entreprise. Mais elle donne aussi à cette dernière l’opportunité de mieux se préparer à surmonter l’imprévu.

Début 2021, 81 % des RSSI déclaraient rendre compte à un conseil d’administration, contre 69 % avant la pandémie, selon le cabinet de recherche de cadres en sécurité Hitch Partners. Et d’après une estimation récente du Gartner, d’ici 2025, 40 % des conseils d’administration disposeront d’un comité dédié à la cybersécurité, composé en partie d’anciens RSSI, contre 10 % aujourd’hui. Afin de poursuivre cette collaboration resserrée avec le conseil d’administration, les RSSI doivent mettre l’accent sur trois stratégies clés.

S’aligner sur les enjeux business de l’entreprise

L’alignement sur les enjeux business n’a pas toujours été une priorité pour les équipes de sécurité informatique. Les RSSI doivent s’assurer d’implémenter des technologies bénéfiques pour l’entreprise s’ils veulent s’assurer une place privilégiée à la table des dirigeants. Ils doivent s’aligner sur les résultats de l’entreprise, en particulier réduire les coûts opérationnels, accroître la résilience, améliorer l’expérience employé et renforcer l’efficacité opérationnelle. 

Les RSSI doivent faire de la sécurité IT interne un argument de vente pour les produits ou services de l’entreprise, à accélérer leurs efforts de transformation digitale, s’assurer de la parfaite conformité réglementaire.

Nouer des relations fructueuses

Pour les RSSI, il est important de pouvoir expliquer au conseil d’administration les concepts techniques de sécurité, afin qu’ils les comprennent et prennent la mesure de leur importance. Ce qui doit d’ailleurs être réciproque. Les RSSI doivent ensuite être aussi capables de détailler les priorités et les orientations business de l’entreprise à leurs équipes techniques, afin qu’elles restent bien alignées.

Il est également essentiel que les RSSI participent à ces conversations dès le début et nouent des relations avec un large éventail d’acteurs, car la sécurité ne concerne pas un seul et unique département. Selon Gartner, d’ici 2024, 60 % des RSSI devront établir des partenariats essentiels avec des cadres clés dans les services des ventes, comptabilité et marketing, contre moins de 20 % aujourd’hui. Ces relations prévaudront même sur celles mises en place du côté technique. Dès le début de l’année 2020, Gartner a constaté que les RSSI les plus performants sont ceux qui rencontrent régulièrement trois fois plus de parties prenantes non informatiques que d’acteurs de l’IT.

Préparer l’avenir

Les équipes IT les mieux préparées à affronter les confinements survenus depuis le début de la pandémie de Covid-19 sont celles qui avaient conscience qu’il y aurait davantage d’endpoints opérant en dehors du réseau.

Les équipes IT les mieux préparées à affronter les confinements survenus depuis le début de la pandémie de Covid-19 sont celles qui avaient conscience qu’il y aurait davantage d’endpoints opérant en dehors du réseau. Elles ont donc conçu des plans équilibrés, et non restrictifs, pour protéger les dispositifs distants.

Lorsque le télétravail est devenu la règle, tout ce travail effectué au préalable s’est avéré bénéfique, car il avait permis de mettre en place des contrôles en continu de tous les endpoints, où qu’ils se trouvent : les entreprises étaient mieux préparées à surmonter l’imprévu

Cette approche se distingue par le fait qu’elle ne vise pas à bloquer les accès. Elle a uniquement vocation à protéger les opérations, les revenus ou les collaborateurs. Il s’agit plutôt d’anticiper les besoins des professionnels et de mettre en place des mesures de sécurité adéquates.

Le travail conduit en amont a mené les équipes de sécurité informatique à la table (virtuelle) des dirigeants. En siégeant au comité de direction, les RSSI apportent une grande valeur ajoutée et sont plus en mesure de comprendre la stratégie dans laquelle l’entreprise s’engage pour avancer au même rythme qu’elle. Réciproquement, ils doivent également être en mesure d’expliquer les implications cyber de technologies telles que le cloud, la 5G, l’IoT et l’IA aux dirigeants, afin de leur permettre de prendre des décisions stratégiques éclairées.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)