RSSI : comment être plus performant et impactant dans son organisation ?

Aujourd’hui, le RSSI doit accompagner l’entreprise et ses salariés dans leurs différents enjeux métiers. Il construit la stratégie de sécurité de l’entreprise et il endosse, naturellement, la responsabilité en cas d’incident de sécurité. Pourtant, pour qu’une stratégie porte ses fruits, il faut du temps. Le problème, c’est que les RSSI ne disposent souvent pas du temps nécessaire entre la définition de la stratégie et les actions qui en découlent.

Quels efforts mettre en place pour être plus performant et impactant ?

 

 

Voici 5 piliers qui permettent à un RSSI d’établir une stratégie durable :

 

  • Passer de pompier à bâtisseur

« Cybersécurité » rime malheureusement souvent avec « pompier ». Ce n’est pourtant pas une fatalité. L’impact du RSSI sera d’autant plus fort s’il arrive à être dans une démarche de « bâtisseur ». C’est-à-dire, s’il construit une stratégie globale de sécurité anticipant l’ensemble des usages et ceux à venir pour ne plus répondre à des incidents de sécurité mais pour les prévenir.

 

  • Adopter une approche holistique

Le RSSI doit toucher l’ensemble de son organisation et pour cela  il doit avoir une approche holistique qui intègre tous les usages et besoins de l’entreprise. Par exemple, à l’heure du digital workplace, les usages mobiles doivent être au cœur de sa stratégie.

 

  • Etre à l’écoute des enjeux métiers

D’après l’étude Censuswide parue cette année, 94% des DSI et RSSI français ont déjà renoncé à réaliser une mise à jour de sécurité par crainte d’un impact négatif sur l’activité commerciale de l’entreprise, aux dépens de sa sécurité. De plus, 40% d’entre eux considèrent que bien des incidents de cybersécurité surviennent parce que les « Business Units » donnent la priorité à leur processus métiers et à la satisfaction de la clientèle au mépris des protocoles de sécurité. Ce constat est souvent le résultat d’une méconnaissance mutuelle des enjeux associés. En effet, un échange régulier avec les Directions des unités métiers et une bonne connaissance de leurs enjeux permettraient aux RSSI d’anticiper ou de répondre, de manière collective, aux risques qui pourraient se présenter et cela sans faire de compromis entre la sécurité et le business.

 

 

  • Former ses collaborateurs

En France, l’erreur humaine est responsable de 24 % des failles de sécurité en entreprise, soit le 3ème facteur de risque derrière les attaques criminelles effectives (51 % des cas) et les problèmes techniques du système informatique ou du logiciel (25%). Une statistique qui démontre la nécessité de former les collaborateurs pour qu’ils deviennent véritablement acteurs et co-constructeurs de la protection des données de leur entreprise et qu’ils s’engagent aux côtés des RSSI et DSI dans un plan d’amélioration continue. En ce sens, la transmission des bons messages à une audience non technicienne et peu au fait des risques encourus constitue un défi majeur pour le RSSI. C’est un rôle qui tient davantage de la pédagogie et qui implique de collaborer avec la Direction Générale, la DSI, la communication interne et les ressources humaines.

 

  • Travailler de concert avec le DSI

Le premier sponsor du RSSI au sein de l’entreprise est sans conteste le DSI. En tant que partenaires de la sécurité, DSI et RSSI doivent aller dans le même sens et travailler en étroite collaboration pour mettre en place une politique de sécurité des systèmes d’information (PSSI) cohérente. Le RSSI doit garantir l’application de cette PSSI, mettre en place des méthodes d’analyse de risques et de gestion de crise, et présenter un budget correspondant pour permettre au DSI d’effectuer ses arbitrages en connaissance de cause.

 

Pour perdurer en tant que RSSI, les qualités techniques ne suffisent plus. Il faut être polyvalent, visionnaire et savoir collaborer. Il faut aller au contact des équipes pour bien comprendre leurs enjeux et les former aux bonnes pratiques. Il faut également savoir travailler main dans la main avec le DSI pour garantir la cohérence de la politique de sécurité. De cette étroite collaboration dépendra l’efficacité de l’ensemble de la stratégie qui sera mise en place.