Les nouvelles exigences législatives en matière de sécurité informatique font aujourd’hui partie intégrante des aspects de gouvernance des entreprises. De ce fait la thématique de la cybersécurité n’est plus le pré carré du seul RSSI mais intéresse, questionne et se doit d’être compréhensible auprès des COMEX et CODIR des organisations.

Ce nouvel enjeu oblige les C-level à s’impliquer et à comprendre des problématiques pour lesquelles ils ne possèdent pas toujours la culture informatique adéquate dans un domaine, qui le plus souvent est réservé à un public d’experts.

Parallèlement, les RSSI doivent adapter leur communication pour répondre aux besoins de compréhension de leur direction.

Dans ce contexte, plusieurs questions se posent : Comment, en tant que RSSI, reporter efficacement les enjeux de sécurité informatique à sa direction ? Quelles sont les attentes de cette dernière ? Comment retranscrire des problématiques techniques sous la forme d’objectifs tangibles pour l’entreprise ? Explication dans cet article.

Une direction de plus en plus consciente des enjeux de cybersécurité

Les cadres dirigeants des entreprises se montrent de plus en plus vigilants quant à l’importance de la cybersécurité, comme l’indique l’étude d’ESG pour Trend Micro.

Alors que 82 % reconnaissent une aggravation des cybermenaces, la cybersécurité semble encore trop souvent cantonnée aux équipes informatiques, relevant principalement de la DSI (Direction des Système d’Information) selon 62 % des sondés.

Toutefois, l’étude montre une prise de conscience des décideurs puisque 85 % des participants observent un intérêt grandissant des conseils d’administration pour cette thématique. Un intérêt naissant souvent réactionnaire, survenant après des incidents majeurs.

La cybersécurité reste un sujet complexe pour les dirigeants

Malgré une prise de conscience du risque cyber, les dirigeants d’entreprise peinent à s’approprier les enjeux de la cybersécurité. Une tendance particulièrement observée dans les PME et les ETI où les ressources sont le plus souvent limitées.

Selon Bpifrance et Cybermalveillance.gouv.fr, cette réticence découle de plusieurs facteurs. Premièrement, la compréhension des risques cyber se fait le plus souvent de manière superficielle conduisant à une sous-estimation des enjeux et à une délégation excessive auprès de l’équipe informatique.

Enfin, l’investissement dans les produits de cybersécurité est souvent perçu comme prohibitif, bien que les conséquences financières d’une attaque puissent s’avérer catastrophiques. Rappelons que 60% des entreprises victimes d’une cyberattaque dépose le bilan dans les 6 mois selon une étude d’Orange Cyberdéfense. Il est donc urgent de rendre la cybersécurité intelligible à tous.

En tant que RSSI, comment reporter à sa direction ?

Le rôle du RSSI n’est plus seulement d’être un référent technique mais doit évoluer vers une fonction davantage stratégique et de communication, où il s’agit de lier les enjeux de sécurité informatique aux objectifs de gouvernance et à la vision business de l’entreprise.

Parlez métier plutôt que technique à vos interlocuteurs

Le but premier de votre discours auprès de la direction est de mettre en exergue les enjeux de la cybersécurité, les conséquences des risques, telles que les dommages à la réputation, l’indisponibilité des processus métier ou les sanctions financières, et comment ces derniers se rapportent aux objectifs de l’entreprise. Avec pour seul but, de faire prendre conscience de la situation.

Comme l’explique Baptiste David, Head Of Market Strategy chez Tenacy, les directions des organisations s’intéressent aux répercussions commerciales et budgétaires des risques de sécurité informatique, plutôt qu’aux aspects techniques et contraintes organisationnelles sous-jacentes : « Le RSSI doit éviter le langage technique et parler métier aux dirigeants d’entreprise. Il s’agit d’expliquer pourquoi certaines situations sont problématiques ainsi que leur impact potentiel au sein de l’organisation. ».

Il est donc important de vulgariser les termes que vous employez afin de faciliter au mieux l’échange avec la direction. Sur ce point, vous pouvez vous appuyer sur le livre blanc corédigé par l’OSSIR et le CLUSIF : La cybersécurité à l’usage des dirigeants qui donne de nombreux conseils pratiques pour rendre votre discours accessible, le tout accompagné d’un glossaire proposant des définitions simples comme DNS, BYOD, MFA, ou encore Phishing.

Basez-vous sur des faits et des chiffres

Pour assurer une communication efficace, n’hésitez pas à projeter la direction dans un scénario. Mettez en avant les conséquences d’une cyberattaque réussie sur l’entreprise. Par exemple l’impossibilité d’utiliser les postes de travail de toute l’entreprise pendant 72 heures ou encore les pertes financières sur le chiffre d’affaires.

En parallèle de ce scénario, ajoutez une rétrospective des événements significatifs de cybersécurité dans l’entreprise. Ces faits peuvent comprendre des événements de sécurité internes, les résultats d’un audit récent, ou l’introduction de nouvelles réglementations ayant eu un impact sur la gouvernance de l’entreprise. L’idée ici est de passer de la fiction au réel.

Vous pouvez également effectuer une veille sur les incidents de sécurité survenus dans des entreprises similaires à la vôtre, de préférence françaises pour faciliter l’identification.

L’objectif est de maintenir la direction informée, sans la surcharger de détails superflus. Il s’agit de leur permettre de poser des questions et de comprendre les tendances de la cybersécurité qui pourraient affecter leur environnement.

Ne multipliez pas les rapports

Trop de données tue la donnée. Pour rester intelligible, ne multipliez pas les rapports. Gardez en tête que chaque rapport doit apporter une plus-value à la direction. Cela signifie fournir des informations qui éclairent les décisions stratégiques et mettent en évidence des progrès ou identifient de nouveaux défis.

Comme le souligne Baptiste David : « Un rapport annuel s’avère insuffisant pour suivre l’évolution rapide des enjeux de cybersécurité, tandis qu’une fréquence hebdomadaire risque de saturer la direction avec des informations redondantes ».

Par exemple, dans le cadre d’un projet de certification ISO 27001 qui peut s’étendre sur six mois, un rapport trimestriel serait approprié pour démontrer les progrès et prendre les bonnes décisions.

Pour des questions plus urgentes ou des incidents majeurs, des rapports ad hoc peuvent être présentés sans attendre la prochaine échéance.

Utilisez Tenacy pour appuyer vos analyses

Afin de faciliter le travail des RSSI, la plateforme Tenacy offre une analyse détaillée et contextualisée, permettant une évaluation précise et en temps réel de la posture de sécurité informatique de l’entreprise.

Les fonctionnalités avancées de visualisation de données transforment les informations techniques en graphiques et tableaux explicites, renforçant votre communication auprès des décideurs.

Ainsi, vous serez capables de piloter la cybersécurité de l’entreprise, détecter les irrégularités, et créer des rapports qui soient compréhensibles pour tous.

À retenir

La fonction du RSSI évolue au-delà d’un rôle purement technique pour devenir un acteur stratégique dans l’entreprise. Il s’agit de traduire les risques cyber en implications commerciales et budgétaires, et de présenter des informations à la fois pertinentes et compréhensibles pour la direction afin de prendre des décisions.

L’utilisation de plateformes comme Tenacy facilite cette tâche, en offrant des analyses détaillées et contextualisées qui permettent un suivi en temps réel de la posture de cybersécurité.

Contactez dès maintenant nos représentants commerciaux pour demander votre démo Tenacy