La formation continue peut, assurément, aider les RSSI à améliorer la façon dont ils transmettent les informations. Mais ces responsables de la sécurité doivent également se livrer à un peu d’introspection afin de définir le principal objectif commercial derrière chacune de leurs interactions avec le PDG. Car bien que la manière dont un RSSI communique soit importante, les messages qu’il choisit de mettre en avant le sont davantage encore.

Une communication efficace est une question de choix. En fin de compte, l’attention que vous accorde un public ne dure qu’un temps, qu’il s’agisse du destinataire d’un e-mail, de quelqu’un avec qui vous avez une conversation téléphonique ou d’un cadre assis de l’autre côté de la table en salle de réunion. Et, malheureusement pour les RSSI, ils ont tendance à choisir des messages qui ne parlent pas tellement au PDG et aux autres responsables.

Si vous recherchez un indicateur susceptible d’influencer un PDG, il vous faut lui proposer quelque chose qui ait réellement un effet sur sa prise de décision, a déclaré Paul Proctor, vice-président et analyste en sécurité chez Gartner à Careers Info Security au cours d’une interview donnée l’an dernier. « Le problème c’est que la plupart des employés chargés de la sécurité ignorent les décisions prises par leurs PDG au quotidien. Comment pourraient-ils, dans ces conditions, leur proposer quelque chose de pertinent ? »

Ainsi, lorsque les équipes de sécurité s’apprêtent à demander davantage de budget ou le soutien des dirigeants pour de nouvelles initiatives, ils doivent commencer par faire preuve d’empathie. Essayez de comprendre les principaux problèmes auxquels sont confrontés les PDG et d’établir un lien avec la sécurité. De nombreux RSSI se rendront compte qu’en procédant de la sorte, les trois messages suivants sont susceptibles de s’imposer comme étant ceux qui trouvent un véritable écho.

1. LA VALEUR AJOUTÉE

Ne mettez pas l’accent sur les failles, faites au contraire passer un message sur la valeur ajoutée. Si la sécurité contribue rarement à l’augmentation du chiffre d’affaires,  il y a de nombreux domaines dans lesquels la sécurité informatique et le risk management constituent une véritable valeur ajoutée via la résilience, la confiance des clients, etc. Malheureusement, de nombreux RSSI ne parviennent pas à transformer les investissements dans la sécurité en valeur ajoutée pour l’entreprise, et les PDG et les membres du conseil d’administration restent donc avec l’idée que la sécurité est un coût qui doit être limité. Le problème vient en partie du fait que les RSSI ne se donnent pas la peine de connaître suffisamment leur entreprise pour présenter les choses sous cet angle.

« Si vous demandez aux employés de la sécurité de décrire les résultats commerciaux visés par leur entreprise ils en sont généralement incapables, a expliqué Paul Proctor. Ils doivent, en plus de développer une meilleure compréhension de leur entreprise, être en mesure d’établir un lien entre les menaces de défaillance en matière de sécurité et les échecs commerciaux.»

Paul Proctor a pris l’exemple d’une entreprise Européenne dans laquelle une voiture était fabriquée toutes les 90 secondes et pour laquelle une heure d’inactivité se traduisait par une baisse de 40 voitures dans la production. Lorsque des problèmes de sécurité contribuent à cette inactivité, si l’équipe de sécurité peut établir un lien avec les voitures non produites, elle démontre au PDG la véritable valeur de la sécurité pour l’entreprise.

« [L’équipe de sécurité du constructeur automobile] permet désormais à l’entreprise d’être plus efficace, d’avoir une meilleure productivité et donc, d’augmenter ses marges bénéficiaires. Il est donc possible de produire des choses qui profitent à l’entreprise » a conclu Paul Proctor.

2. LES RISQUES VERSUS LES INVESTISSEMENTS CONSACRÉS Á  LA SÉCURITÉ

Les DSI et RSSI perdent en crédibilité lorsqu’ils recherchent une technologie de protection de pointe sans faire leur devoir consistant à montrer en quoi cela est lié à la valeur du bien protégé.

Les dépenses liées à la sécurité devraient reposer sur la valeur des données ou des systèmes ou sur les revenus qu’ils génèrent.

Tout dépend du profil de risque des entreprises et de ce qu’elles ont à perdre. Dépenser 1 million de dollars pour protéger des données qui en valent 50 000 n’a pas de sens, a fait remarquer récemment à FierceCIO Kevin Winter, DSI de Booz Allen Hamilton . « L’objectif vise à s’assurer que l’argent est dépensé très efficacement. »

Enfin, cela dépend de la collaboration du RSSI avec l’entreprise pour estimer les biens à protéger et les comparer aux coûts de sécurité récurrents et aux nouveaux coûts proposés pour vérifier que cela « colle ».

3. LES MENACES PESANT SUR LES RÉSULTATS FINANCIERS

En même temps, certains experts déclarent que les RSSI ne devraient pas faire trop de tours de passe-passe pour transformer chaque message de sécurité en un message sur le rôle de la sécurité dans le cœur de métier. 

« Au cours des 10 dernières années, on demandait sans cesse aux professionnels de la sécurité IT d’apprendre à parler du point de vue du cœur de métier mais cela n’a pas fonctionné » a déclaré Richard Steinnon d’IT Harvest dans un récent article pour TechTarget.

Richard Steinnon considère que les RSSI pourraient obtenir de meilleurs résultats s’ils étaient capables d’aborder le sujet des menaces avec les cadres dirigeants d’une manière plus concrète qu’en présentant simplement des statistiques ou des graphiques sur la prévalence des malwares ou le temps de réaction en cas d'incident.

Richard Steinnon recommande de « cesser de présenter des cotes de risque et de commencer à parler des menaces, des indicateurs d’attaque et de compromission ainsi que des personnes impliquées dans les menaces ».

Il cite en exemple la RSSI de Lockheed Martin, Chandra McMahon, qui fait cela extrêmement bien en mettant en corrélation des attaques et en les présentant dans ce que son équipe appelle le « Schéma des campagnes » (Chart of Campaigns). Pour Richard Steinnon, il s’agit du meilleur outil de communication qu’il connaisse pour transposer les menaces dans l’entreprise.  L’équipe de sécurité de Lockheed prend les éléments communs comme les adresses IP, les domaines à partir desquels les e-mails de spear phishing sont envoyés, les familles de malwares utilisées, les méthodes d’empaquetage de la charge utile et les cadres ciblés afin de proposer un aperçu complet des campagnes utilisées à l’encontre des entreprises.

« Ce schéma peut comprendre entre 4 et 15 campagnes en cours et actives. On trouve en haut les différentes étapes de la « chaîne de frappe » (Kill Chain) et le schéma présente les mesures de protection ayant, au cours de la semaine, détecté et bloqué des attaquants » a-t-il expliqué, en précisant que cela génère le type de réaction viscérale de la part de l’équipe dirigeante qui favorise les achats et la coopération. Et il explique qu’ils s’exclament alors : « Ces personnes essaient de nous voler. Nous devons prendre toutes les mesures possibles pour les en empêcher ! »

S’il n’y a sans doute pas de remède miracle pour améliorer les relations entre les leaders de la sécurité informatique et les membres du conseil d’administration il faut bien que les RSSI commencent par quelque chose. Actuellement, moins de la moitié des RSSI travaillent régulièrement avec leur PDG. Plutôt que de pointer du doigt les cadres qui ne sont pas en phase avec eux, les leaders de sécurité devraient reconsidérer les sujets qu’ils abordent avec les dirigeants.

Ces trois sujets  ne sont peut-être pas la seule solution possible mais les experts considèrent qu’il s’agit d’un bon début.

Cet article a été rédigé par Ericka Chickowski.