Les DSI en difficulté sur le sujet de la sécurité
Les DSI ne sont pas nécessairement des experts en sécurité, cela ne signifie pas qu'ils ne peuvent pas en parler à leur Comex. A condition que les directeurs de la sécurité informatique leur donnent des arguments.
Les directeurs de la sécurité informatique n'ont pas vocation à faire cavalier seul. Dans les coulisses, ils peuvent même aider les DSI à préparer leurs interventions devant les comités de direction. Des DSI qui ne sont pas forcément très avisés sur ces questions mais doivent alerter leur Comex sur la meilleure façon d'interpréter les niveaux de menace de l'entreprise, ce qui permet aux C-Level (cadres dirigeants) d'être au point sur ces questions.
"Quand vous travaillez sur le rôle du DSI, vous ne pensez pas forcément à leur attribuer le sujet de la sécurité", a déclaré Michael Hart, vice-président et DIO de Petwell Partners, lors d'une table ronde menée lors du CIO Perspectives Houston la semaine dernière. Les participants ont discuté de la manière d'obtenir que les sujets liés à la sécurité informatique soient bien pris en compte dans les instances dirigeantes des entreprises.
Que tout le monde comprenne
Lors de la préparation pour une présentation au Comex ou d'une réunion avec des cadres de niveau C, la première chose qu'un DSI devrait faire, c'est d'amener la conversation sur la sécurité de le faire dans des termes que tout le monde de l'employé le plus jeune au PDG soit à même de comprendre. "Vous ne voulez pas parler de technologies de sécurité, apprenez à par-ler des conséquences sur le business », a déclaré Michael Hart.
Ensuite, pour définir les attentes et façonner la stratégie de la société, le directeur de la sécurité doit parler du contexte dans lequel les risques évoluent aujourd'hui et montrer comment ils sont différents de ceux d'hier. Samuel Sutton, informaticien au FBI à Houston, a souligné à son tour que les enjeux sont beaucoup plus élevés aujourd'hui. Autre aspect, pour Samuel Sutton, "Il fut un temps où les victimes ont souffert d'être seules et isolées". Aujourd'hui, grâce à l'analyse et aux livres blancs, les victimes peuvent se renseigner sur la façon de traiter une violation.
Samuel Sutton a donc conseille aux DSI de ne pas dormir tranquille et de se concentrer sur le plan de prévention et sur la réponse appropriée. "La réalité est qu'il y a deux réseaux, ceux qui sont piratés et ceux dont vous ignorez qu'ils sont piratés ». Michael Hart a déclaré pour sa part que la création d'un rapport d'une page prend cinq minutes à lire, c'est un bon instrument à fournir au chef d'entreprise lui-même comme radar sur ce sujet de la sécurité. Il s'agit de bâtir des relations de long terme, entre DSI, responsables sécurité et Pdg.