La communication entre RSSI et direction est essentielle pour légitimer, valoriser et rythmer la démarche de sécurité au sein d’une organisation. Mais les échanges peuvent être difficiles à provoquer et à cadencer du fait du manque de disponibilité ou d’appétence de certaines équipes dirigeantes. Voici quelques conseils issus du terrain pour instaurer un vrai dialogue sur la cyber.
Le Comex et la cyber : une discussion réellement à sens unique ?
Les attentes des comités exécutifs (Comex) varient d’un environnement à l’autre. Le risque pénal qui pèse sur le dirigeant constitue un levier dans certains secteurs, là où dans d’autres, plus régulés, c’est surtout le risque de non-conformité et d’image qui permet d’obtenir l’écoute du top management.
« Dans le monde bancaire, les portes sont ouvertes par le haut par le régulateur qui impose à la gouvernance de prendre en considération ces questions. »
Arnaud Martin, directeur cybersécurité Caisse des dépôts
Partir sur de bonnes bases
Inutile pour autant de jouer sur la peur, les Comex sont globalement de plus en plus conscients de leur responsabilité en matière de cybersécurité et en quête d’avis éclairés sur la thématique.
« Il faut être prêt à tout type de question mais l’enjeu reste surtout de déclencher l’envie du sujet », explique Sébastien Blard. En amont de sa première intervention en Comex, le RSSId’un grand groupe industriel français a rencontré chacun des membres individuellement afin de leur exposer les enjeux et de sonder leurs connaissances sur ces questions. « Cela permet de ne pas les prendre au dépourvu, de positionner les enjeux cyber par rapport aux enjeux métier et faire passer des messages. Le contexte étant posé en one-to-one, mon intervention au Comex est dédiée à la discussion et à la prise de décision collective », complète-t-il.
Arnaud Martin a lui aussi structuré son action autour de briefings individuels. À ces temps en tête-à-tête s’ajoute un comité stratégique SSI. Cette instance compte trois membres permanents du Comex (directrice des risques, directrice des opérations et inspection générale) et se réunit a minima trois fois par an pour cadencer la démarche. Il précise : « Cette antichambre du comité exécutif m’offre l’occasion de remonter des informations à ces ambassadrices ».
Raconter une histoire
Mais comment tirer le meilleur profit de ces trente minutes, questions-réponses comprises, décrochées lors du prochain Comex ? Pour Sébastien Blard, il faut avoir quelque chose à raconter. Il recommande de présenter différents scénarios, valorisés si possible en termes d’investissement de façon à définir collectivement où sera placé le curseur en matière de cyber.
« Souvent on ne déroule pas ses slides, le débat prend le dessus. C’est l’occasion de présenter les résultats des tests indépendants réalisés sur le dispositif de sécurité ou de demander les fonds pour en effectuer. »
Sébastien Blard, RSSI d’un grand groupe industriel français
Dans le cas de comités réguliers, Arnaud Martin confie remonter des indicateurs mais aussi apporter des éléments issus des retours d’expérience de tiers. « [Les dirigeants] sont friands de données externes ou en provenance de notre CERT qui leur permettent de mieux suivre l’évolution de la menace. »
Adopter la bonne posture
Il est parfois compliqué pour le ou la RSSI de positionner son expertise dans l’entreprise. Même les comités exécutifs très sensibilisés peuvent se montrer réticents à acter des mesures de protection cyber qui impactent trop l’expérience utilisateur. « C’est difficile quand on commence à toucher à la classification des données », reconnait par exemple Arnaud Martin. Raison de plus pour être assertif selon Stéphane Blard : « il faut aller à l’essentiel sans se justifier. Le RSSI reste un expert qui doit remettre en perspective les risques sans jargonner ». Néanmoins, la nomination d’un sponsor cybersécurité parmi les membres du comité exécutif pourra l’aider dans sa mission.
Conclusion
Ces espaces de discussion réguliers sont indispensables à l’avènement d’une cybersécurité by design dans l’entreprise. C’est d’ailleurs par le témoignage d’une belle maturité à ce sujet que la Caisse des dépôts termine son intervention : « pas un seul projet SI ne se lance sans analyse de risque cyber ! »
Et vous, comment s’est passée votre dernière entrevue avec le Comex ?