Management

6 secrets pour assurer une longévité aux RSSI

6 secrets pour assurer une longévité aux RSSI
Tina Thorstenson, CISO de l'Arizon State University depuis 2009, souligne quele rôle du CISO n'est pas que technique.

Dans un monde où les technologies sont synonymes de rapidité, le domaine de la sécurité demande du temps long. Encore faut-il assurer les RSSI de cette permanence dans la durée. Nos confrères de CSO donnent des clés pour garantir leur longévité.

PublicitéIl y a quelque chose de paradoxal dans le monde de la sécurité informatique. D'un côté, les cybercriminels ont souvent un coup d'avance en s'appuyant sur les faiblesses humaines et logicielles. De l'autre, les RSSI élaborent et mettent en oeuvre une politique de sécurité robuste pour éviter ces menaces. Mais comme le dit l'adage, Rome ne s'est pas faite en un jour et les RSSI ont besoin de temps pour installer une stratégie de sécurité cohérente et efficace. Pour autant les chiffres montrent que RSSI ne rime pas avec pérennité. Selon une étude menée par ESG (Enterprise Strategy Group) et l'ISSA (Information Systems Security Association), la durée d'activité d'un RSSI au sein des entreprises se situe entre 24 et 48 mois. Dans une autre étude, Kasperky Lab constate que la moitié des responsables de la sécurité interrogés conserve leur emploi plus de 5 ans.

Les raisons du départ d'un RSSI sont nombreuses, mais l'attrait d'une rémunération plus élevée est important. Dans un secteur où la pénurie est de mise, les profils de CISO sont très recherchés. Autre raison, ils portent la responsabilité directe en cas d'incident de sécurité. Alex Stamos (ex RSSI de Yahoo et de Facebook) et Susan Mauldin (CSO d'Equifax) en sont des exemples emblématiques. Alors quelles sont les clés pour assurer la longévité des RSSI ? Nos confrères de CSO ont demandé à Andy Ellis, chef de la sécurité d'Akamai pendant 8 ans et présent dans l'entreprise depuis 16 ans, des conseils.

1-Définir et gérer une vision

Il faut établir un programme sur la manière d'associer les métiers et devenir un guide utile et durable sur la sécurité. Pour cela, il faut avoir une idée claire du temps dont vous disposez ou du temps pour apporter de réels changements. L'initiative « zero trust » retenue chez Akamai a duré 6 ans. Quand un RSSI envisage des projets, c'est une chose d'avoir un plan sur 10 ans, mais l'avoir dès son arrivée en est une autre. « Trouver sa place où le RSSI va jouer son rôle, c'est important », explique Andy Ellis. Contrairement aux responsables marketing, commerciaux et même IT, le rôle du responsable de la sécurité est d'aider les entreprises à comprendre et à gérer les risques.

2-Savoir dans quoi on s'embarque

Les RSSI ne rejoignent pas une entreprise simplement pour assurer la maintenance opérationnelle, explique Michael Sutton, un investisseur et ancien RSSI de Zscaler. La plupart des responsables veulent apporter des changement, mais la clé du succès réside dans le degré d'autonomie. « Les DSI qui sont heureux, sont ceux qui ont des moyens d'agir ». Cela signifie, « est-ce que j'ai une voix ou une place au comex ? Est-ce que j'ai des rendez-vous réguliers avec la direction ? ».

Souvent, les personnes occupant un poste de RSSI s'attendent à ce que le rôle soit très technique, souligne Tina Thorstenson, CISO de l'Arizon State University depuis 2009. De plus en plus, ce n'est pas le cas, il est beaucoup plus axé sur le management. « Les entreprises veulent des personnes capables d'expliquer ce que les gens de l'IT font et comment les métiers doivent le mettre en oeuvre », observe la responsable.

Publicité3-Être un disrupteur ou un constructeur ?

Les entreprises embauchent souvent un RSSI quand elles ont été victimes d'un incident de sécurité et qu'elles se rendent compte qu'elles ont sous-investi dans la sécurité, analyse Andy Ellis. Le nouvel arrivant a le mandat pour changer les choses. Parfois cela marche, mais parfois trop de changement peuvent empêcher le RSSI de réussir sur le long terme. En tant que RSSI, il faut être capable de distinguer la disruption et la construction. Le premier se définit comme un pompier qui démolit tout pour éteindre l'incendie. Le second met l'accent sur la création et le maintien de relations à long terme avec les principaux intervenants.

4-Obtenir le soutien nécessaire

De nombreux RSSI citent le manque de soutien de la part des dirigeants comme un défi important. Souvent, il s'agit d'un manque de communication, précise Tina Thorstenson. Tout au long de sa carrière au sein de l'université, elle a pris le temps de rencontrer les vice-présidents et les intervenants de l'établissement pour recueillir des renseignements sur leurs préoccupations et leurs besoins en matière de sécurité. Un effort lui permettant d'identifier les projets répondant aux exigences de l'université.

Au début de sa carrière, la CISO s'est servi de ses connaissances sur les préoccupations du monde enseignants sur la sécurité des terminaux mobiles (PC portables, smartphones, tablettes), pour introduire un plan de chiffrement des données à l'échelle de l'université. « Je n'ai pas imposé le chiffrement », glisse-t-elle. « J'ai écouté et entendu les préoccupations sur la perte et le vol des équipements. Le meilleur moyen pour y remédier était le chiffrement. Au final, je répondais à un problème plutôt que d'essayer de pousser une technologie pour emporter l'adhésion », ajoute-t-elle.

5-Être à jour sur le plan technique

Les RSSI modernes doivent comprendre les enjeux opérationnels de leur travail, mais ils doivent rester en veille sur les technologies. Sans avoir besoin d'être un expert en matière, il est nécessaire d'avoir une profondeur technique pour parler avec des dirigeants. « Le RSSI doit comprendre le niveau de risque de l'entreprise souhaite prendre et être capable de proposer une articulation de ces risques », constate Alex Leon, RSSI de Dime Community Bank et ex RSSI de Citibank et Mitsubishi. Les responsables de la sécurité ne sont pas là pour dire « oui » ou « non », précise-t-il. « Ils sont là pour éduquer l'entreprise sur les risques pour qu'elle puisse prendre des décisions », ajoute-t-il.

6-Intégrer la sécurité à l'ensemble de l'entreprise

Selon Tina Thorstenson, une manière d'amener la direction à cesser de considérer l'équipe de sécurité comme un centre de coûts est de se concentrer sur l'intégration de la sécurité dans tous les aspects des activités de l'entreprise. Plutôt que de créer une armée dédiée à la sécurité, il faut regarder s'il est possible d'intégrer la sécurité dans chaque secteur d'activité et de demander aux dirigeants d'en assumer la responsabilité. « Assurez-vous que chaque dirigeant comprend qu'il est responsable des services qu'il offre et qu'il est responsable de leur sécurité », conclut la responsable.

Article écrit par Jaikumar Vijayan/CSO, traduit et adapté par Jacques Cheminat

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis