En tant que RSSI, comment reporter à sa direction ?

Partage

Les nouvelles exigences législatives en matière de sécurité informatique font aujourd’hui partie intégrante des aspects de gouvernance des entreprises. De ce fait, la thématique de la cybersécurité n’est plus le pré carré du seul RSSI mais intéresse, questionne et se doit d’être compréhensible auprès des COMEX et CODIR des organisations.

Ce nouvel enjeu oblige les C-level à s’impliquer et à comprendre des problématiques pour lesquelles ils ne possèdent pas toujours la culture informatique adéquate, dans un domaine qui le plus souvent est réservé à un public d’experts. Parallèlement, les RSSI doivent adapter leur communication pour répondre aux besoins de compréhension de leur direction.

Dans ce contexte, plusieurs questions se posent.

  • Comment, en tant que RSSI, reporter efficacement les enjeux de sécurité informatique à sa direction ?
  • Quelles sont les attentes des C-level ?
  • Comment retranscrire des problématiques techniques sous la forme d’objectifs tangibles pour l’entreprise ?

Explications.

Une direction de plus en plus consciente des enjeux de cybersécurité

Les cadres dirigeants des entreprises se montrent de plus en plus vigilants quant à l’importance de la cybersécurité, comme l’indique l’étude d’ESG pour Trend Micro.

Mais si 82 % d’entre eux reconnaissent une aggravation des cybermenaces, la cybersécurité semble encore trop souvent cantonnée aux équipes informatiques : selon 62 % des sondés, celle-ci relève principalement de la DSI (Direction des Système d’Information).

Bonne nouvelle : l’étude montre cependant une vraie prise de conscience des décideurs, puisque 85 % des répondants observent un intérêt grandissant des conseils d’administration pour cette thématique.

Mauvaise nouvelle : cet intérêt naissant est très (trop) souvent réactionnaire, survenant après des incidents majeurs…

La cybersécurité reste un sujet complexe pour les dirigeants

Malgré cette prise de conscience du risque, les dirigeants d’entreprise peinent à s’approprier les enjeux de la cybersécurité. Une tendance particulièrement observée dans les PME et les ETI, où les ressources sont le plus souvent limitées.

Selon Bpifrance et Cybermalveillance.gouv.fr, cette réticence découle de plusieurs facteurs. Premièrement, la compréhension des risques cyber se fait le plus souvent de manière superficielle – ce qui conduit à une sous-estimation des enjeux et à une délégation excessive auprès de l’équipe informatique.

Pour ne rien arranger, l’investissement dans les produits et solutions de cybersécurité est souvent perçu comme prohibitif, alors même que les conséquences financières d’une attaque peuvent s’avérer catastrophiques. Rappelons que selon une étude d’Orange Cyberdéfense, 60 % des entreprises victimes d’une cyberattaque déposent le bilan dans les 6 mois ! Il est donc urgent de rendre la cybersécurité intelligible à tous.

COMMENT PARLER CYBER à sa direction ?

Le rôle du RSSI n’est plus seulement d’être un référent technique. Il doit évoluer vers une fonction davantage stratégique et de communication, qui implique de lier les enjeux de sécurité informatique aux objectifs de gouvernance et à la vision business de l’entreprise.

Parlez métier plutôt que technique à vos interlocuteurs

Le but premier de votre discours auprès de la direction ? Leur faire prendre conscience de la situation. Il s’agira pour cela de mettre en exergue :

  • les enjeux de la cybersécurité ;
  • les conséquences des risques (dommages à la réputation, indisponibilité des processus métier, sanctions financières…) ;
  • comment ces derniers se rapportent aux objectifs de l’entreprise.

Comme l’explique Baptiste David, Head Of Market Strategy chez Tenacy, les directions des organisations s’intéressent aux répercussions commerciales et budgétaires des risques de sécurité informatique, plutôt qu’aux aspects techniques et aux contraintes organisationnelles sous-jacentes : « Le RSSI doit éviter le langage technique et parler métier aux dirigeants d’entreprise. Il s’agit d’expliquer pourquoi certaines situations sont problématiques ainsi que leur impact potentiel au sein de l’organisation. ».

Il est donc important de vulgariser les termes que vous employez afin de faciliter au mieux l’échange avec la direction. Sur ce point, vous pouvez vous appuyer sur le livre blanc corédigé par l’OSSIR et le CLUSIF : La cybersécurité à l’usage des dirigeants, qui donne de nombreux conseils pratiques pour rendre votre discours accessible, le tout accompagné d’un glossaire proposant des définitions simples comme DNS, BYOD, MFA, ou encore Phishing.

Fondez votre discours sur des faits et des chiffres

Pour assurer une communication efficace, n’hésitez pas à projeter la direction dans un scénario. Mettez en avant les conséquences d’une cyberattaque réussie sur l’entreprise, par exemple l’impossibilité d’utiliser les postes de travail de toute l’entreprise pendant 72 heures, ou encore les pertes financières sur le chiffre d’affaires.

En parallèle de ce scénario, ajoutez une rétrospective des événements significatifs de cybersécurité dans l’entreprise. Ces faits peuvent comprendre :

  • des événements de sécurité internes ;
  • les résultats d’un audit récent ;
  • l’introduction de nouvelles réglementations ayant eu un impact sur la gouvernance de l’entreprise…

L’idée ici est de passer de la fiction au réel.

Vous pouvez également effectuer une veille sur les incidents de sécurité survenus dans des entreprises similaires à la vôtre (de préférence françaises) pour faciliter l’identification.

L’objectif est de maintenir la direction informée, sans pour autant la surcharger de détails superflus. Il s’agit de leur permettre de poser des questions et de comprendre les tendances de la cybersécurité qui pourraient affecter leur environnement.

Ne multipliez pas les rapports

Trop de données tuent la donnée : pour rester intelligible, ne produisez pas trop de rapports !

Gardez en tête que chaque rapport doit apporter une plus-value à la direction – en d’autres termes, leur fournir des informations qui éclairent les décisions stratégiques et mettent en évidence des progrès ou identifient de nouveaux défis.

Comme le souligne Baptiste David : « Un rapport annuel s’avère insuffisant pour suivre l’évolution rapide des enjeux de cybersécurité, tandis qu’une fréquence hebdomadaire risque de saturer la direction avec des informations redondantes ».

Par exemple, dans le cadre d’un projet de certification ISO 27001 qui peut s’étendre sur six mois, le format le plus approprié serait un rapport trimestriel permettant de démontrer les progrès et prendre les bonnes décisions. Et pour des questions plus urgentes ou des incidents majeurs, des rapports ad hoc peuvent être présentés sans attendre la prochaine échéance.

Utilisez Tenacy pour appuyer vos analyses

Afin de faciliter le travail des RSSI, la plateforme Tenacy offre une analyse détaillée et contextualisée, permettant une évaluation précise et en temps réel de la posture de sécurité informatique de l’entreprise. Les fonctionnalités avancées de visualisation de données transforment les informations techniques en graphiques et tableaux explicites, renforçant votre communication auprès des décideurs.

Vous pouvez ainsi piloter la cybersécurité de l’entreprise, détecter les irrégularités, et créer des rapports qui soient compréhensibles par tous. Le tiercé gagnant, en somme !

À retenir

La fonction du RSSI évolue au-delà d’un rôle purement technique pour devenir un acteur stratégique dans l’entreprise. Il lui revient désormais de traduire les risques cyber en implications commerciales et budgétaires, et de présenter des informations à la fois pertinentes et compréhensibles pour la direction afin de prendre des décisions.

L’utilisation de plateformes comme Tenacy facilite cette tâche, en offrant des analyses détaillées et contextualisées qui permettent un suivi en temps réel de la posture de cybersécurité.

Contactez dès maintenant nos représentants commerciaux pour demander votre démo Tenacy !