RSSI et course après le temps : comment s’en sortir ?

RSSI et course après le temps, est-ce un sujet anecdotique ? Selon une étude réalisée par Nominet auprès de 800 CISO à l’automne 2019, 95% des RSSI dépasseraient leur temps de travail d’environ 10 heures par semaine. Bien évidemment, ce phénomène s’explique en partie par la pénurie de compétences qui sévit dans le domaine de la cybersécurité. Mais ce n’est pas la seule raison ! Au quotidien, cette course après le temps est due à des problèmes d’ordre culturel et organisationnel qui ralentissent les RSSI. Heureusement, des solutions existent désormais pour leur permettre de retrouver sérénité et efficacité.

Partage

Pourquoi le temps est un casse-tête pour les RSSI

Le RSSI n’est pas un super-héros (quoique… on en parle ici), donc pour tenter de résoudre un problème, il faut bien en identifier la cause. Alors dans ce défi « RSSI et course contre le temps », quelles sont les raisons pouvant expliquer que le RSSI ait toujours ce sentiment désagréable de ne « jamais en faire assez » ?

Un temps de travail éclaté entre plusieurs missions

Les risques cyber concernant tous les pans de l’activité et tous les niveaux de l’organisation, le RSSI intervient de façon transverse, ce qui explique la répartition de son temps de travail de la façon suivante (chiffres issus de l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF) :

  • Aspects techniques (architecture de sécurité, suivi de projet etc.) : 29%
  • Aspects fonctionnels (analyse de risques, politique de sécurité…) : 25%
  • Aspects opérationnels (gestion des droits, administration…) : 21%
  • Communication/sensibilisation : 14%
  • Aspects juridiques (recherche de preuves, charte utilisateurs…) : 11%

En soi, cette répartition pourrait ne pas être problématique, si le RSSI n’avait pas à composer avec un déficit d’intégration de sa fonction au sein des process de l’entreprise et un manque d’outils adapté et dédié pour s’organiser ! (teaser : cf prochain article qui parle tableaux de bord et de l’incontournable Excel auprès des RSSI…)

Cybersécurité et culture d’entreprise

Le caractère transverse de ses fonctions place le RSSI dans une grande situation de dépendance, à la fois vis-à-vis du top management, qui alloue le budget cybersécurité, mais aussi des équipes, qui ont un rôle à jouer dans l’application des règles de sécurité et dans la remontée d’informations.

Or, nombreux sont les RSSI qui peinent à animer et fédérer leur communauté et perdent du temps sur des tâches sans valeur ajoutée, par exemple en relançant les équipes qui tardent à remplir un tableau de bord ou en corrigeant des incidents qui auraient pu être évités s’ils avaient été sollicités en amont.

 

Le manque d’outils pour piloter la cybersécurité

Le RSSI n’est pas le seul à vouloir gagner sa course après le temps. Aujourd’hui, tous les métiers disposent d’outils de pilotage pour avoir une vue à 360° sur leur activité. La fonction commerciale dispose ainsi d’un CRM (logiciel de gestion de la relation client), tandis que la finance dispose des données en temps réel grâce à un ERP.

Le RSSI, quant à lui, dispose d’un certain nombre d’outils, qu’il s’agisse des solutions les plus courantes (antivirus et antimalware, antispam, firewall…), d’outils plus spécifiques (sondes IDS, SIEM, Network Access Control) ou de consoles de programmation et de maintenance.

Mais, parmi ces aides techniques, aucune ne se rapporte au pilotage, ce qui explique que le RSSI doive encore consacrer beaucoup de temps :

  • d’une part, à la création de ses propres outils de management lors de sa prise de poste
  • d’autre part, à leur mise à jour régulière, avec l’ajustement des fonctionnalités

En pratique, le RSSI consacre donc une très grande partie de son activité à la création et l’adaptation de tableaux de bord sous Excel, sans compter les quelques jours à prévoir mensuellement pour agréger la donnée de façon à pouvoir la présenter au top management.

 

Quelles solutions pour redonner du temps au RSSI ?

Pour que le RSSI gagne sa course après le temps, il faut avant tout miser sur l’optimisation et la rationalisation de ses actions.

Les bonnes pratiques à adopter

Au quotidien, chaque RSSI peut tenter de limiter au maximum les tâches chronophages et rébarbatives, en industrialisant ce qui peut l’être, et en exploitant au maximum les possibilités de collaborer efficacement avec toutes les parties prenantes.

 

Voici trois pistes pouvant utilement être explorées :

  • La création de templates

Quels sont les tableaux utilisés le plus souvent ? Quelle présentation fonctionne le mieux auprès du COMEX ? A quel type de questionnaire les équipes répondent-elles le plus rapidement ? Pour éviter de « réinventer la roue » pour chaque présentation ou chaque collecte de données, le plus simple pour le RSSI consiste à se constituer une bibliothèque de « modèles » (tableaux Excel, présentations PowerPoint) qui lui serviront de trames de façon récurrente.

  • Les méthodes Agile pour la gestion des équipes

Faire avancer les projets, lever les difficultés rencontrées par les équipes, relancer les collaborateurs…tout cela prend du temps, mais en prend encore davantage lorsqu’il n’y a pas de suivi et de dynamique. Pour l’animation de leur communauté, les RSSI peuvent donc recourir à des formats de réunion à la fois réguliers, courts, et très structurés.

Celles-ci peuvent prendre plusieurs formes, comme le weekly (format d’1 h maximum), ou le daily (format de quelques minutes, et le plus souvent en étant debout). Dans les deux cas, l’objectif reste le même : balayer ce qui a été fait et ce qui reste à faire, en levant les obstacles à la réalisation des objectifs.

  • Les outils autres que ceux dédiés à la cybersécurité

Il existe aujourd’hui de nombreux outils, qui, sans concerner spécifiquement le RSSI, peuvent lui être utiles. A chaque RSSI de trouver ce qui lui convient le mieux, parmi la palette d’outils collaboratifs et de gestion de projets existants. A titre d’exemples, Trello constitue une solution intéressante pour suivre les actions courantes et les projets, en mettant en place des notifications et des alertes. Des outils comme Slack ou Teams peuvent quant à eux faciliter la collaboration avec toutes les parties prenantes sur un projet.

Tenacy pour retrouver du temps de qualité

Plateforme Saas, adaptable et collaborative, Tenacy se présente comme la première solution de pilotage de la cybersécurité. Elle vise à améliorer l’organisation du RSSI, en lui faisant gagner un temps précieux sur de nombreux aspects:

  • Constitution des tableaux de bord : paramétrage des indicateurs propres à la politique de sécurité, indicateurs préconfigurés, construction sur mesure, modulaire et intuitive
  • Collecte des données : notifications automatiques évitant d’avoir à effectuer des relances
  • Pilotage de la conformité et des plans d’actions
  • Suivi du programme de sécurité
  • Réalisation d’évaluations

En supprimant les tâches chronophages et en offrant une vue à 360° sur la cybersécurité, Tenacy permet à chaque RSSI de retrouver du temps pour se concentrer sur les aspects stratégiques de sa mission.