Le secret du succès des bons responsables sécurité
Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.
En témoigne la crise récente de la Société Générale, le rôle d'un responsable de la sécurité devient de plus en plus complexe, qu'il s'agisse d'empêcher la fuite de données ou de maîtriser les problématiques de conformité réglementaire. Face à ces défis permanents, certains RSSI (Responsable de la Sécurité des Systèmes d'Information) réussissent mieux que d'autres, selon une étude récente de Forrester Research. Le cabinet d'analystes a identifié sept caractéristiques qui font que certains RSSI réussissent mieux que d'autres. Au-delà des conseils auxquels on pouvait s'attendre (avoir une relation étroite avec son employeur, faire de la sécurité une question omniprésente à l'échelle de l'organisation toute entière), plusieurs caractéristiques inattendues sont apparues lors de l'enquête menée par Forrester. Une boussole morale est la clé du succès La découverte majeure est que les responsables sécurité réellement efficaces doivent avoir une solide boussole morale qui leur permette de susciter l'adhésion autant par l'exemple que par le respect qu'inspire leur mandat. « On s'attend à ce qu'un RSSI ait une certaine expertise technique, mais c'est sa personnalité qui fait la réussite, déclare Khalid Kark, analyste chez Forrester et rédacteur de l'étude. « Avoir l'intégrité, la visibilité, et faire en sorte que les gens sachent qu'en tant que personne vous ferez toujours ce qu'il faut faire, est d'une grande importance quand on vous fait confiance pour protéger une grande quantité d'informations sensibles ». Savoir instinctivement ce qu'il faut faire D'autres responsables peuvent peut-être se permettre d'agir dans le dos de certaines personnes afin d'accomplir leur tâche, mais les RSSI qui veulent gagner le respect nécessaire afin de mener leur travail le plus efficacement possible, doivent diffuser l'image d'une personne à l'indéniable fiabilité. « C'est la caractéristique que beaucoup de gens valorisent vraiment dans un RSSI. Or, un des problèmes des RSSI est que cela prend du temps de bâtir la confiance, mais si vous avez la bonne boussole morale, et que vous savez instinctivement ce qu'il faut faire, vous irez plus vite, affirme Khalid Kark Savoir équilibrer les rôles Afin de gagner cette confiance, il faut aussi travailler avec la « psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et de politique. Autres points clés pour réussir, avoir la flexibilité suffisante pour chercher des solutions créatives, et aller vite d'un projet à l'autre, tout en restant aussi patient que possible, et diriger la sécurité comme si c'était une unité d'affaires. Ce dernier talent réclame la capacité de réunir beaucoup de données sur la sécurité et les réglementations, ainsi que de savoir comment les utiliser afin de défendre les budgets et les projets correspondants. Aider les autres à prendre des responsabilités Un des traits les plus importants de n'importe quel RSSI, déclare Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui aide les autres à améliorer leurs propres compétences en agissant en mentor, plutôt qu'en régulateur draconien qui donne simplement des ordres et qui s'attend à ce qu'ils soient exécutés. « Les RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des responsabilités. Cela devrait faire partie de leur stratégie de sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les RSSI doivent être prêts à assumer une grande partie du blâme lorsque les choses tournent mal, même si c'est la faute de quelqu'un d'autre. Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur vous et utiliser cela pour travailler sur des questions qui améliorent la situation globale de l'organisation, c'est une chose à faire ». Des compétences techniques très évoluées remises en question Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La clé, je crois, est qu'il faut absolument avoir la capacité de comprendre des données techniques, mais vous n'avez pas forcément besoin des compétences pratiques, résume Khalid Kark. Beaucoup de RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur des questions opérationnelles telles que la gestion des pare-feu, mais ils ont besoin d'être prêts à définir une politique de sécurité et à élaborer la position de leur société vis-à-vis des risques. Une approche du haut vers le bas "En fait, de nombreux RSSI qui ont des compétences techniques soutiennent que leurs connaissances les conduisent souvent à s'embourber dans trop de décisions opérationnelles et de projets ». Indépendamment des capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de plus en plus important pour les responsables sécurité de s'éloigner d'une approche « du bas vers le haut » de la sécurité, où l'accent est mis sur les outils à utiliser, pour aller vers une approche « du haut vers le bas » menée par la gestion des risques et les concepts de gouvernance. "Ces cadres doivent évoluer depuis l'expertise opérationnelle vers un rôle de penseur stratégique, du rôle de policier à celui d'un conseiller digne de confiance». «Ils doivent se considérer davantage comme un consultant, par opposition à un auditeur, et évoluer de spécialiste de la sécurité informatique à généraliste des risques de l'entreprise."