Stratégie

10 erreurs fatales pour la carrière d'un RSSI

Passés d'un rôle technique à un rôle stratégique, les RSSI doivent s'adapter davantage aux besoins de l'entreprise.(Photo Pexels/Pixabay)

Le rôle du RSSI est à la fois central et ingrat. Il est celui qui interdit beaucoup, mais qui, lorsqu'une attaque intervient, devient le parfait bouc émissaire. Voici 10 conseils aux RSSI, pour gérer correctement leur imposante responsabilité et éviter les revers de carrière.

PublicitéLes RSSI portent de lourdes responsabilités qui peuvent peser sur leur entreprise si elles ne sont pas bien gérées, mais aussi leur propre carrière. De nombreuses erreurs peuvent freiner leur avancement professionnel, certaines moins évidentes que d'autres et donc plus difficiles à éviter. Voici dix erreurs qui peuvent avoir un impact négatif sur la carrière des RSSI, identifiées par plusieurs experts et consultants en sécurité.

1 - Ne pas aligner la sécurité avec les priorités de l'entreprise

Concilier impératifs business et sécurité est devenue une priorité des RSSI. Ceux qui n'y parviennent pas seront distancés. Dans le même temps, « la sécurité est passée d'objectif en tant que tel à fonction essentielle au développement de l'entreprise », comme l'explique James Carder, RSSI de l'éditeur Benevity. Par conséquent, les stratégies, la communication, la planification et la mise en oeuvre en la matière doivent être alignées sur les résultats de l'entreprise.

Si les mesures de sécurité ne génèrent pas un retour sur investissement significatif, c'est que les RSSI font fausse route, selon lui. « La sécurité ne doit pas être considérée comme un centre de coûts, », explique-t-il. Il ajoute que les RSSI qui n'alignent pas encore leurs mesures de sécurité sur la stratégie de l'entreprise doivent fondamentalement changer d'état d'esprit. Ils doivent accepter que leur rôle a évolué et qu'ils ne sont plus des gardiens du temple, mais plutôt des facilitateurs du progrès.

2 - Se contenter de gérer la technologie

« Pour que la sécurité soit alignée sur la stratégie d'entreprise, les experts en sécurité doivent également être des leaders », estime de son côté Ryan Knisley, ancien RSSI de Disney et actuel directeur de la stratégie produit de l'éditeur de plateforme d'analytics Axonius. Cependant, pour de nombreux RSSI, cela reste un défi qui ont encore tendance à travailler uniquement au sein de l'activité sécurité plutôt qu'avec les entités opérationnelles. En conséquence, ils manquent en général de deux compétences cruciales : la connexion entre risques et revenus, d'une part, et la capacité à mesurer l'efficacité des mesures de sécurité à l'aide de KPI business.

« Cela marginalise leur rôle et les fait passer pour un facteur de coût », observe Ruan Knisley. Ce dernier conseille donc aux RSSI de développer leurs compétences métiers. Pour cela, ils peuvent chercher des mentors professionnels en dehors de la cybersécurité et également une expérience de travail hors de la cyber.

3 - Toujours dire non

Aimee Cardwell, RSSI de Transcend explique que les RSSI savent généralement que le département de la sécurité ne peut pas se permettre de toujours dire non, mais ne le mettent pas en pratique. Pour parvenir à une décision positive, ils doivent comprendre le niveau de tolérance au risque de l'entreprise, selon la RSSI de Transcend. Cela leur permet de trouver le juste équilibre entre les mesures de sécurité à déployer et les exigences de l'entreprise en matière de rapidité et de simplicité des transactions.

PublicitéTim Rawlins, directeur de la sécurité du groupe de cyber NCC, l'explique ainsi : « Les RSSI qui souhaitent faire progresser leur carrière sont ceux qui peuvent dire : "Oui, je contribue à ce que cela soit fait de manière sécurisée et fiable, et à ce que cela soit plus résilient." »

4 - Tracez des lignes rouges

Il va encore plus loin, estimant que les RSSI ne doivent pas fixer de limites aux idées à haut risque. S'ils le font, cela démontre qu'ils ne sont pas véritablement concentrés sur les besoins de l'entreprise. « Ils ne doivent jamais dire "Absolument pas", car si c'est important pour la société, ils doivent trouver un moyen de fournir une solution sûre et fiable d'y arriver. Sinon, l'entreprise passera outre de toute façon », conclut-il.

5 - Appliquer les règles à la lettre

Aimee Cardwell affirme également que les RSSI nuisent à leur entreprise et à leurs perspectives de carrière s'ils appliquent les règles à la lettre. Un membre de son équipe a par exemple, comme elle le raconte, refusé d'autoriser les employés à faire appel à des fournisseurs tiers, invoquant une politique de sécurité qui l'interdisait. La RSSI a donc examiné la situation de plus près avec les équipes concernées. Et elle s'est rendu compte qu'il s'agissait d'une app qui ne serait utilisée que pendant deux mois sur deux ordinateurs, mais qui était cruciale pour une initiative commerciale.

Elle a décidé de déroger à la règle de sécurité et de mettre en place des contrôles afin de prendre un risque calculé pour le compte de l'entreprise. Un ticket d'assistance a par exemple été créé pour garantir la suppression automatique de l'application à la fin prévue du projet. Selon Aimee Cardwell, cela démontre la volonté du service cyber de faciliter les démarches de l'entreprise et cela garantit que le RSSI et son équipe soient perçus comme des partenaires et non comme des obstacles.

6 - Sous-estimer l'IA

L'intelligence artificielle se généralise rapidement, c'est pourquoi les RSSI doivent approfondir leurs connaissances de cette technologie. Cela leur donner la possibilité de la sécuriser correctement et d'éviter d'être perçus comme des vestiges de l'ère pré-IA. « Pourtant, de nombreux experts en sécurité continuent de considérer l'IA comme un outil technologique classique parmi d'autres, et non comme un territoire inexploré », observe Jenai Marinkovic, CTO de la société de service en cyber Tiro Security.L'IA bouleverse des domaines familiers, ainsi que le paysage des menaces, les processus décisionnels et même la notion de « vérité » au sein des organisations ». Pour la CTO, si les professionnels continuent de considérer l'IA comme une simple fonctionnalité, ils risquent de mal évaluer leur environnement et de proposer des solutions pour des menaces qui n'existent plus. « Leur logique deviendra obsolète en temps réel. » Jenai Marinkovic ajoute que la chute de certaines carrières de RSSI ne sera pas causée par la paresse ou l'incompétence, mais à cause d'ontologies obsolètes.

7 - Manquer de transparence

Selon Ryan Kinsley, les RSSI qui ignorent précisément les éléments à sécuriser ne réussiront pas dans leur mission. Il ajoute que ceux qui n'ont ni une vision globale ni la capacité d'évaluer l'efficacité des contrôles perdront leur crédibilité et la confiance de la direction. Pour Jenai Marinkovic estime que la vision d'ensemble est aujourd'hui plus complète que jamais. Selon elle, les RSSI qui ne parviennent pas à modéliser les dépendances invisibles présentes dans la quasi-totalité des organisations actuelles sont voués à l'échec.

« Dans les systèmes hybrides - biologiques, numériques, opérationnels, géopolitiques - les défaillances les plus catastrophiques surviennent là où aucun couplage n'a été modélisé », explique-t-elle. Ceux qui ne parviennent pas à identifier comment leur logique de contrôle - technique ou administrative - interagit avec des systèmes invisibles - réglementaires, culturels, économiques - sont incapables de les maîtriser. « Leur carrière est compromise non pas par un manque de compétences, mais par un manque de vision d'ensemble ».

8 - Ne pratiquer aucun réseautage

Dans toutes les disciplines, pour progresser, il faut notamment aider les autres dans leur travail, devenir des partenaires de confiance de ses collègues et nouer des relations dans toute l'organisation. Pour certains métiers, c'est assez facile, tandis que pour d'autres, cela nécessite de s'engager activement dans un type de collaboration spécifiquement destiné à nouer ces liens sur le lieu de travail.

Cependant, comme le souligne Kimberly Roush, fondatrice de la société de coaching de cadres All-Star Executive Coaching, dans de nombreuses entreprises, la fonction sécurité entre rarement dans ces catégories. Cela ne signifie pas pour autant que le développement des relations soit moins important pour la réussite des programmes cyber et l'évolution de carrière individuelle des équipes RSSI . Par conséquent, le ces dernières doivent se créer davantage d'opportunités, affirme Kimberley Roush. Elle recommande aux RSSI de contacter leurs pairs, de poser des questions, de reconnaître leurs réussites et d'organiser des rencontres pour apprendre des autres. Cela permet d'étendre son influence au-delà de son propre service.

9 - Économiser son temps et son attention.

Bien que les RSSI soient soumis à une forte pression du temps, ils doivent rester à l'écoute des employés qui les sollicitent pour des questions ou des inquiétudes. Selon Aimee Cardwell, un refus catégorique peut dissuader ces personnes de signaler des informations sensibles en matière de sécurité à l'avenir. Pire encore, elles pourraient commencer à contourner activement les mesures de sécurité. Même de petits indices peuvent révéler des problèmes graves. Il est donc important de prendre chaque signalement au sérieux et de l'aborder avec ouverture d'esprit et intérêt.

10 - Gérer incorrectement une faille de sécurité

Il n'y a pas que les RSSI qui savent qu'un incident de sécurité est inévitable. Leurs collègues de la direction l'ont également compris, et c'est pourquoi un incident ne signifie plus la fin d'une carrière. Aimee Cardwell explique que, par le passé, une faille de sécurité était « un point noir pour un RSSI ». Aujourd'hui, selon elle, la situation a presque complètement changé : elle « préférerait ne pas embaucher un RSSI qui n'a jamais connu de faille de sécurité ». Elle privilégie plutôt les experts qui ont déjà vécu une faille de sécurité et en ont tiré des leçons. Cette expérience permet de mieux comprendre ce qu'implique une bonne résilience.

Cependant, pour elle, un incident de sécurité mal géré peut tout de même ruiner la carrière des RSSI. Ils doivent donc disposer d'un plan de réponse aux incidents bien rodé. Cela leur permet d'agir de manière décisive, de limiter les dégâts et de procéder rapidement à la réparation de l'élément endommagé. Selon Tim Rawlins, ils doivent également communiquer calmement et clairement, et garder le contrôle. Il admet toutefois que cela ne leur garantit pas forcément de conserver leur emploi.