Pourquoi le RSSI a vocation à supporter le business
Vous connaissez l’histoire des trois tailleurs de pierre interrogés sur leur travail ? Alors que tous effectuent la même tâche, chacun apporte une réponse différente. L’un déclare tailler une pierre, l’autre construire un mur, tandis que le troisième s’enthousiasme à l’idée de construire une cathédrale. Cette allégorie illustre à elle seule la latitude laissée aux RSSI dans la conception de leur mission, et l’importance pour eux de se poser une question essentielle…
Pourquoi faire de la sécurité ?
En 2010, Simon Sinek, un conférencier britannique auteur de nombreux ouvrages sur le management et la motivation, a animé un tallk TED parmi les plus visionnés au monde, dans lequel il a développé la théorie du « WHY », très connue dans l’univers du marketing, mais aussi du développement personnel. Son idée ? Partir du principe qu’il ne faut pas raisonner à partir de ce qu’on fait (le « WHAT»), mais de « pourquoi » on le fait, et ce pour deux raisons :
- Savoir pourquoi on agit permet de donner du sens à ses actions. C’est donc une source de motivation personnelle.
- C’est aussi un puissant levier pour communiquer et « embarquer » ses interlocuteurs, parce que, dit-il : « les gens n’achètent pas ce que vous faites, ils achètent la raison pour laquelle vous le faites ».
En matière de cybersécurité, les RSSI ont donc un travail de qualification de leur métier à effectuer. Fait-on de la sécurité pour identifier des menaces ? Pour mettre en place des outils ? Ou encore seulement pour protéger l’entreprise ?
La réponse est non ! Voyons les choses sous l’angle du bâtisseur de cathédrale, et considérons plutôt que le RSSI n’est pas « celui qui limite la casse », mais plutôt celui qui supporte le business, à la fois en le protégeant, mais aussi en l’aidant à se développer dans un cadre sécurisé.
Le business comme clé d’entrée pour le RSSI
Que veut dire supporter le business dans le quotidien d’un RSSI ? De façon non-exhaustive, cette vocation peut et doit prendre forme de plusieurs façons.
- « penser » business
Impossible de prétendre supporter une activité sans la connaître et la comprendre parfaitement ! Les RSSI doivent donc s’emparer du sujet en cherchant des réponses à un certain nombre de questions dès leur prise de poste.
A titre d’exemples : quel est le business model ? Où l’entreprise génère-t-elle de la marge ? Où en perd-elle ? Quels sont les risques les plus importants pour le business ?
- « parler » business
Le RSSI est souvent seul dans l’organisation à comprendre les enjeux de cybersécurité, et à avoir une vision claire des actions à mettre en œuvre pour protéger l’activité et la compétitivité face aux menaces. Il doit donc se faire comprendre pour être suivi par les décideurs ! Quel que soit le secteur d’activité, chaque RSSI a donc tout intérêt à adopter un « langage business ». Autrement dit, à ne plus parler « menaces cyber », mais plutôt « risques pour le business ».
- Couvrir les risques de façon appropriée
Qu’on se le dise : non, toute l’activité d’une organisation n’a pas besoin d’être protégée au degré maximal ! L’approche du RSSI doit prendre en compte non seulement le risque, mais aussi les contraintes propres au business (matérielles comme financières). Ni trop, ni trop peu…tel est le bon dosage pour permettre à l’entreprise de se développer dans un cadre sécurisé, tout en subissant une contrainte qui se limite au strict nécessaire.
- Diffuser une culture de la sécurité dans l’entreprise
Il est bien illusoire de penser que la sécurité de l’entreprise puisse reposer sur les seules épaules du RSSI. Shadow IT, négligences du quotidien, mots de passe trop simples…tous les collaborateurs peuvent avoir des comportements qui fragilisent l’entreprise et chacun a un rôle à jouer ! Supporter le business, cela veut donc dire -aussi- être en capacité d’embarquer l’ensemble des parties prenantes dans cette démarche, via des actions de sensibilisation pertinentes et engageantes.
Comment un RSSI peut-il supporter le business au quotidien ?
Peu de RSSI ont été amenés, dans leur cursus, à suivre une formation en gestion des entreprises. Faut-il en déduire l’impossibilité pour bon nombre d’entre eux d’éclairer leurs dirigeants, faute de disposer des compétences nécessaires ? Heureusement non, car le job de RSSI, plus que jamais, repose bien plus sur des savoir-être que sur des savoir-faire.
Les soft skills indispensables pour être RSSI
Le métier de RSSI est complexe et transverse. Ce qu’en attendent les dirigeants ?
Selon une étude rendue publique en mai 2020 par Devoteam, et menée auprès d’environ 600 dirigeants d’entreprises européennes et moyen-orientales de plus de 500 collaborateurs, se place en première position le fait de « coopérer avec les métiers pour qu’ils inscrivent leurs activités dans un cadre de risque accepté » (47% des réponses), juste avant le fait de « réduire la probabilité des menaces qui pèsent sur l’entreprise et ses actifs » (45% des réponses).
Le RSSI n’est donc pas attendu sur le terrain de la technique, mais bien sur les qualités suivantes :
- Curiosité
Poser des questions, aller à la rencontre des services et des équipes, se renseigner sur des notions propres à l’activité…c’est en s’intéressant à son environnement et en pratiquant l’écoute active que le RSSI peut réellement adapter son approche et ses propositions au business.
- Communication et marketing
S’il y a bien une chose sur laquelle les RSI gagneraient à se former, c’est sur leur capacité à « vendre » leurs idées et leurs solutions ! Si les dirigeants se préoccupent de plus en plus de la cybersécurité, ce dont ils ont besoin, c’est avant tout de se sentir concernés et de comprendre facilement et rapidement le discours du RSSI. Celui-ci ne doit plus être technique, mais impactant, en recyclant les techniques les plus basiques du marketing : parler le même langage que son interlocuteur, accompagner plutôt qu’imposer, et même injecter une touche sexy dans ses présentations !
- Diplomatie et sens du consensus
Les responsables business veulent aller vite (time–to–market), quitte, parfois, à sacrifier la sécurité. Face à ce constat, le rôle du RSSI ne peut plus consister à s’opposer systématiquement et doit évoluer vers davantage de compromis, en adoptant une méthode des petits pas et en arbitrant en fonction du risque.
Faire évoluer le métier de RSSI en pratique
Connaissez-vous la méthode de l’échiquier ? Utilisée pour optimiser l’efficacité commerciale dans les ventes complexes, elle peut tout à fait être reprise par tout RSSI désireux de « tisser sa toile » et de voir les choses en grand !
Voici trois étapes sur lesquelles peut travailler le RSSI dès son arrivée dans une entreprise :
- Étape 1 : cartographier l’environnement, en menant un véritable travail d’enquête. Comment fonctionne l’organisation ? Qui fait quoi ? Cette connaissance fine de l’entreprise et de ses rouages permet d’identifier les leviers et les freins à prendre en compte dans les actions de cybersécurité.
- Étape 2 : créer du lien en exploitant toutes les occasions, de la visite régulière des bureaux aux discussions informelles devant la machine à café. Toutes ces interactions sont un excellent moyen pour identifier celles et ceux qui seront les « champions » de la sécurité dans l’entreprise, de façon à ce que le RSSI puisse déposer de « relais » à tous les niveaux de l’organisation.
- Étape 3 : entretenir son image de marque personnelle (personal branding). Rester en contact avec les early adopters et les remercier, faire preuve d’empathie vis-à-vis des collaborateurs les plus réticents au changement et les accompagner, savoir faire preuve de discrétion tout en faisant en sorte qu’on trouve votre travail remarquable…au quotidien, c’est toute une communauté que le RSSI doit animer. La qualité des relations qu’il noue et l’image que le RSI renvoie est donc essentielle !